English

◀◁ 뒤로 취약점ID 22379 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Xerver 웹 서버는 다중의 취약점들에 취약하다. Xerver는 Omid Rouhani에 의해 개발된 무료로 사용 가능한 Java 기반의 웹 서버이다. Xerver 버전 4.17을 포함한 여러 버전들은 다중의 취약점들에 취약하다. 이 취약점들은 원격지의 공격자에 의해 Cross-Site Scripting 공격들을 수행하고 시스템 및 민감한 정보를 노출시키는 데 도용될 수 있다. 1) HTTP 요청으로 파일명 끝에 점을 덧붙임으로써 스크립트 파일들의 소스 코드를 볼 수 있는 문제가 있다. 2) HTTP 요청으로 경로명 끝에 NULL 문자(%00)를 덧붙임으로써 인덱스 파일이 있을 때 조차도 디렉토리의 내용이 보여지는 문제가 있다. 3) 악의적인 코드가 따르는 NULL 문자(%00)를 포함하는 잘 조작된 URL을 생성함으로써 공격자는 Cross-Site Scripting 공격들을 수행할 수 있다. 이는 영향을 받는 사이트의 환경 하에서 사용자 브라우저 세션으로 임의의 HTML 및 스크립트 코드를 실행하는 데 도용될 수 있다. * 참고 사이트: http://www.osvdb.org/20075 http://www.osvdb.org/20076 http://www.osvdb.org/20077 http://secunia.com/advisories/17243/ * 영향을 받는 플랫폼: Omid Rouhani, Xerver 버전 4.17을 포함한 여러 버전들 모든 운영체제 모든 버전 해결책 Xerver의 웹 페이지인 http://www.javascript.nu/xerver/ 에서 구할 수 있는 Xerver의 가장 최신 버전(4.20 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-3293 (CVE) 관련 URL 15135 (SecurityFocus) 관련 URL 22785,22786,22787 (ISS)