English

◀◁ 뒤로 취약점ID 22119 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 파일명 앞에 수개의 '.'(dot) 들을 덧붙임으로써 웹서버내의 임의의 파일을 읽어갈 수 있다. 이 취약점은 MS Personal Web Server (PWS)와 FrontPage PWS의 구버전에 존재한다. Attacker가 이러한 취약점을 이용해서 파일을 읽어오기 위해서는 사전에 시스템 내의 파일명을 알고 있어야 하며 읽기 권한이 허용되어 있어야 한다. 예를들어 다음과 같이 하면 이 취약점을 이용해 파일을 읽어올 수 있다. GET ........../config.sys * 참고 사이트: http://www.iss.net/security_center/static/2036.php http://www.microsoft.com/technet/security/bulletin/ms99-010.asp 해결책 MS의 Patch Site로 부터 Pwssecup.exe patch를 구해와서 설치해야 한다. http://technet.microsoft.com/en-us/security/bulletin/ms99-010 관련 URL CVE-1999-0386,CVE-2000-0153 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)