English

◀◁ 뒤로 취약점ID 22383 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 GNUMP3d 서버는 다중의 입력 검증 취약점들에 취약하다. GNUMP3d는 Linux 기반의 운영체제들을 위한 공개 소스 오디오 / 비디오 스트리밍 서버이다. GNUMP3d 2.9.6 이전의 버전들은 두가지 취약점들에 취약하다. 이 취약점들은 원격지의 공격자들에 의해 Cross-Site Scripting 및 디렉토리 탐색 공격들을 수행하는 데 도용될 수 있다. 1) 2.9.6 이전의 GNUMP3d에 있는 디렉토리 탐색 취약점은 "."과 "//" 시퀀스들이 제거된 후 "/.././" 형태로 변해 버릴 수 있는 "/.//..//////././"와 같은 잘 조작된 시퀀스들을 통해 원격지의 공격자들이 임의의 파일들을 읽어 갈 수 있게 해 준다. 2) 2.9.6 이전의 GNUMP3d에 있는 Cross-Site Scripting (XSS) 취약점들은 404 에러 페이지들 혹은 알려져 있지 않은 방법들을 통해 원격지의 공격자들이 임의의 웹 스크립트나 HTML을 주입할 수 있게 해 준다. * 참고 사이트: http://lists.gnu.org/archive/html/gnump3d-users/2005-10/msg00013.html http://savannah.gnu.org/cgi-bin/viewcvs/gnump3d/gnump3d/ChangeLog?rev=1.134&content-type=text/vnd.viewcvs-markup http://archives.neohapsis.com/archives/fulldisclosure/2005-10/0580.html http://securitytracker.com/id?1015118 http://secunia.com/advisories/17351 * 영향을 받는 플랫폼: Debiuan Linux, GNUMP3d 2.9.3-1sarge2 이전의 버전들 GNU Project, GNUMP3d 2.9.6 이전의 버전들 Linux Any version 해결책 GNUMP3d 웹 사이트인 http://savannah.gnu.org/download/gnump3d/ 에서 구할 수 있는 GNUMP3d의 가장 최신 버전(2.9.7 혹은 이후)으로 업그레이드 하여야 한다. 다음 Debian Security Advisory DSA 877-1을 참조하여 GNUMP3d의 가장 최신 버전(2.9.3-1sarge2 혹은 이후)으로 업그레이드 하여야 한다: http://www.debian.org/security/2005/dsa-877 관련 URL CVE-2005-3123,CVE-2005-3424,CVE-2005-3425 (CVE) 관련 URL 15226,15228,15341 (SecurityFocus) 관련 URL 22902,22903 (ISS)