Ãë¾àÁ¡ID |
22649 |
À§Çèµµ |
40 |
Æ÷Æ® |
80, ... |
ÇÁ·ÎÅäÄÝ |
TCP |
ºÐ·ù |
CGI |
»ó¼¼¼³¸í |
ÇØ´ç È£½ºÆ®¿¡´Â ¹öÀü 3.8.4 ÀÌÀüÀÇ WordPress ¼ÒÇÁÆ®¿þ¾îÀÇ ¹öÀüÀÌ ¼³Ä¡µÇ¾î ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³´Ù. WordPress ´Â MySQL µ¥ÀÌÅͺ£À̽º¸¦ »ç¿ëÇÏ´Â PHP ±â¹ÝÀÇ ÃâÆÇ(publication) ÇÁ·Î±×·¥À¸·Î¼, ¹«·á·Î »ç¿ë °¡´ÉÇÑ ÇÁ·Î±×·¥ÀÌ´Ù. WordPress 3.8.4 ÀÌÀü ¹öÀüµéÀº ´ÙÁßÀÇ Ãë¾àÁ¡µé¿¡ Ãë¾àÇÏ´Ù.
- 'getid3.lib.php' ³»ºÎ¿¡ Æļ°¡ ½Å·ÚÇÒ ¼ö ¾ø´Â ¿ÜºÎ XML ¿£Æ®¸®¸¦ ¹Þ¾Æµé¿© °ø°ÝÀÚ°¡ XMLÀ» »ðÀÔÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ XML µ¥ÀÌÅ͸¦ ÀÌ¿ëÇÏ¿© Áß¿äÇÑ Á¤º¸¿¡ Á¢±ÙÇϰųª ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. - 'xmlrpc.php' ³»ºÎ¿¡ Æļ°¡ XML ³»ºÎ ¿£Æ®¸®¸¦ ÀûÀýÇÏ°Ô °ËÁõÇÏÁö ¸øÇÑ Ã¤ ¹Þ¾Æµé¿© °ø°ÝÀÚ°¡ XMLÀ» »ðÀÔÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ XML µ¥ÀÌÅ͸¦ ÀÌ¿ëÇÏ¿© ¼ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. - CSRF ÅäÅ« »ý¼º½Ã ±¸ºÐÀÚ¿¡ ÀÇÇØ ³ª´²ÁöÁö ¾Ê°í, ½Ã°£»ó¼ö ¹æ½ÄÀ¸·Î Àӽðª°ú ºñ±³ÇÏÁö ¾Ê´Â´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¹«ÀÛÀ§ °ø°ÝÀ» ½ÇÇàÇÏ¿© CSRF ÅäÅ«À» ¾Ë¾Æ³¾ ¼ö ÀÖ´Ù.
* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼¹ö »ó¿¡ ¼³Ä¡µÈ WordPress ¼ÒÇÁÆ®¿þ¾îÀÇ ¹öÀü Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.
* Âü°í »çÀÌÆ®: https://wordpress.org/news/2014/08/wordpress-3-9-2/ http://codex.wordpress.org/Version_3.8.4 http://seclists.org/oss-sec/2014/q3/301
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû: WordPress ¹öÀü 3.8.4 ÀÌÀüÀÇ ¹öÀüµé ¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü |
ÇØ°áÃ¥ |
WordPress ´Ù¿î·Îµå À¥ »çÀÌÆ®ÀÎ http://wordpress.org/download/ ¿¡¼ ±¸ÇÒ ¼ö ÀÖ´Â WordPressÀÇ °¡Àå ÃֽŠ¹öÀü(3.8.4 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù. |
°ü·Ã URL |
CVE-2014-2053,CVE-2014-5205,CVE-2014-5240,CVE-2014-5265,CVE-2014-5266 (CVE) |
°ü·Ã URL |
69096 (SecurityFocus) |
°ü·Ã URL |
(ISS) |
|