English

◀◁ 뒤로 취약점ID 22095 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 웹서버에 있는 SquirrelMail에는 입력 타당성 체크에 문제가 있어 사용자들이 원격으로 실행시(runtime)에 PHP 인터프리터에 의해 임의의 파일들을 포함하여 로드될 수 있도록 해 준다. SquirrelMail는 PHP로 작성된 사용하기 쉽고 기능이 우수한 웹 메일 시스템이다. SquirrelMail은 보안에 취약한 PHP 함수 include()로의 호출들을 사용하고 있다. 이로 인해 1.0.4 이하의 SquirrelMail 버전들은 Attacker가 웹서버 사용자의 권한 (대개는 'nobody') 으로 웹서버 상의 임의의 명령들을 원격으로 수행시킬 수 있게 해 주거나 데이타베이스 신용정보를 얻을 수 있는 설정 파일들을 읽어갈 수 있게 해 준다. * 참고 사이트: http://www.securityfocus.com/bid/2968 해결책 가장 최신의 버전(1.0.5 이상)으로 업그레이드 하여야 한다. 1.0.5 이상의 버전은 다음 사이트에서 다운로드 할 수 있다: http://www.squirrelmail.org http://prdownloads.sourceforge.net/squirrelmail/squirrelmail-1.0.5.tar.gz 관련 URL CVE-2001-1159 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)