English

◀◁ 뒤로 취약점ID 22003 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 IBM Net.Commerce에 있는 Macro인 orderdspc.d2w는 SQL Injection 공격에 취약하다. IBM Net.Commerce는 전자상거래 웹 사이트를 구축하고 호스팅하기 위한 하드웨어와 소프트웨어를 겸비한 제품이다. 취약한 스크립트에 대해 잘 조작된 요청을 보내면 서버는 Net.Commerce 데이터베이스로의 임의의 질의의 결과들을 포함한 관리 목적의 계정들과 사용자 패스워드 파일들과 같은 중요한 시스템 정보를 노출시킬 수 있다. 이것은 공격자가 DB2INST1 계정의 권한을 획득할 수 있게 하며 잠재적으로 DB2INST1 사용자로 임의의 쉘 명령들을 실행시킬 수 있게 해 줄 수 있다. * 영향을 받는 플랫폼: IBM Net.Commerce 2.0 / 3.0 IBM Net.Commerce Hosting Server 3.1.1 / 3.1.2 / 3.2 IBM Net.Commerce Pro 3.1 / 3.1.1 / 3.1.2 / 3.2 IBM Net.Commerce Start 3.1 / 3.1.1 / 3.1.2 / 3.2 IBM WebSphere Commerce Suite MarketPlace 4.1 IBM WebSphere Commerce Suite Pro 4.1 / 4.1.1 IBM WebSphere Commerce Suite Service Provider 3.1.2 / 3.2 IBM WebSphere Commerce Suite Start 4.1 / 4.1.1 * 참고 사이트: http://online.securityfocus.com/bid/2350 http://www.iss.net/security_center/static/6067.php 해결책 Vender와 상의하여 IBM Net.Commerce의 가장 최신 버전(3.2 이상)으로 업그레이드 하여야 한다. 예제 Macro들을 삭제하기 위해서는: * 각각의 Instance에 대해 HTML 문서 root에 있는 db2www.ini를 찾는다. * 각각의 ini 파일의 MACRO_PATH를 살펴봐서 모든 Macro들에 대해서 제품에 필요한 것인지 그리고 예제들이 아닌지를 확인한다. * 제품에 필요하지 않은 디렉토리들을 삭제한다. 관련 URL CVE-2001-0319 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)