English

◀◁ 뒤로 취약점ID 22562 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 호스트에는 버전 2.2.23 이전의 Apache HTTP 서버의 어떤 버전이 가동 중인 것으로 나타난다. 해당 버전은 다음과 같은 다중 취약점이 존재한다. - ‘apachectl’ 유틸리티에서 ‘envvars’ 파일을 읽어들일 때 LD_LIBRARY_PATH에 길이가 0인 디렉토리 이름이 있을 경우 올바르게 처리하지 못한다. 공격자는 이 취약점을 이용하여 DSO 트로이목마가 실행되도록 할 수 있고 이로 인해 상승된 권한으로 코드를 실행할 수 있다. (CVE-2012-0883) - MultiViews 옵션과 mod_negotiation 모듈, 신뢰할 수 없는 업로드 허용에 관련하여 입력값을 올바르게 처리하지 못하는 에러가 존재한다. 이로 인해 임의의 스크립트나 HTML이 실행될 수 있다. (CVE-2012-2687) * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.apache.org/dist/httpd/CHANGES_2.2.23 http://httpd.apache.org/security/vulnerabilities_22.html * 영향을 받는 플랫폼: Apache HTTP Server 2.2.23 이전의 2.2.x 버전들 모든 운영체제 모든 버전 해결책 Apache Software Foundation 웹 사이트인 http://httpd.apache.org/download.cgi 에서 구할 수 있는 Apache HTTP Server의 가장 최신 버전(2.2.23 혹은 이후)으로 업그레이드 하여야 한다. -- 혹은 -- 차선책으로는 영향을 받는 모듈들은 사용하지 않고 있는 지를 확인하여야 한다. 관련 URL CVE-2012-0883,CVE-2012-2687 (CVE) 관련 URL 53046,55131 (SecurityFocus) 관련 URL (ISS)