English

◀◁ 뒤로 취약점ID 22096 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 웹서버에 있는 phpPgAdmin에는 입력 타당성 체크에 문제가 있어 사용자들이 원격으로 실행시(runtime)에 PHP 인터프리터에 의해 임의의 파일들을 포함하여 로드될 수 있도록 해 준다. phpPgAdmin는 PHP로 작성된 PostgreSQL을 위한 사용하기 쉬운 웹기반의 관리 인터페이스이다. phpMyAdmin의 앞선 인지도는 MySQL로 부터 phpPgAdmin라 불리는 별도 제품으로써 PostgreSQL 상에서도 작동할 수 있도록 이식되었다. 공통 코드 기반의 phpMyAdmin과 phpPgAdmin은 보안에 취약한 PHP 함수 include()로의 호출들을 사용하고 있다. 이로 인해 2.3 미만의 phpPgAdmin 버전들은 Attacker가 웹서버 사용자의 권한 (대개는 'nobody') 으로 웹서버 상의 임의의 명령들을 원격으로 수행시킬 수 있게 해 주거나 데이타베이스 신용정보를 얻을 수 있는 설정 파일들을 읽어갈 수 있게 해 준다. 'Advanced Authentication' 을 설정하는 것으로도 이 공격을 막지는 못한다. * 참고 사이트: http://www.securityfocus.com/bid/2642 해결책 즉시 최신 버전으로 업그레이드 하여야 한다. Fix된 버전은 다음 사이트로 부터 다운로드할 수 있다: http://phppgadmin.sourceforge.net/doku.php?id=download 관련 URL CVE-2001-0478 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)