English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22649
À§Çèµµ 40
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù CGI
»ó¼¼¼³¸í ÇØ´ç È£½ºÆ®¿¡´Â ¹öÀü 3.8.4 ÀÌÀüÀÇ WordPress ¼ÒÇÁÆ®¿þ¾îÀÇ ¹öÀüÀÌ ¼³Ä¡µÇ¾î ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³­´Ù. WordPress ´Â MySQL µ¥ÀÌÅͺ£À̽º¸¦ »ç¿ëÇÏ´Â PHP ±â¹ÝÀÇ ÃâÆÇ(publication) ÇÁ·Î±×·¥À¸·Î¼­, ¹«·á·Î »ç¿ë °¡´ÉÇÑ ÇÁ·Î±×·¥ÀÌ´Ù. WordPress 3.8.4 ÀÌÀü ¹öÀüµéÀº ´ÙÁßÀÇ Ãë¾àÁ¡µé¿¡ Ãë¾àÇÏ´Ù.

- 'getid3.lib.php' ³»ºÎ¿¡ Æļ­°¡ ½Å·ÚÇÒ ¼ö ¾ø´Â ¿ÜºÎ XML ¿£Æ®¸®¸¦ ¹Þ¾Æµé¿© °ø°ÝÀÚ°¡ XMLÀ» »ðÀÔÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ XML µ¥ÀÌÅ͸¦ ÀÌ¿ëÇÏ¿© Áß¿äÇÑ Á¤º¸¿¡ Á¢±ÙÇϰųª ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù.
- 'xmlrpc.php' ³»ºÎ¿¡ Æļ­°¡ XML ³»ºÎ ¿£Æ®¸®¸¦ ÀûÀýÇÏ°Ô °ËÁõÇÏÁö ¸øÇÑ Ã¤ ¹Þ¾Æµé¿© °ø°ÝÀÚ°¡ XMLÀ» »ðÀÔÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Á¶ÀÛµÈ XML µ¥ÀÌÅ͸¦ ÀÌ¿ëÇÏ¿© ¼­ºñ½º °ÅºÎ¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù.
- CSRF ÅäÅ« »ý¼º½Ã ±¸ºÐÀÚ¿¡ ÀÇÇØ ³ª´²ÁöÁö ¾Ê°í, ½Ã°£»ó¼ö ¹æ½ÄÀ¸·Î Àӽðª°ú ºñ±³ÇÏÁö ¾Ê´Â´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â ¹«ÀÛÀ§ °ø°ÝÀ» ½ÇÇàÇÏ¿© CSRF ÅäÅ«À» ¾Ë¾Æ³¾ ¼ö ÀÖ´Ù.

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼­¹ö »ó¿¡ ¼³Ä¡µÈ WordPress ¼ÒÇÁÆ®¿þ¾îÀÇ ¹öÀü Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
https://wordpress.org/news/2014/08/wordpress-3-9-2/
http://codex.wordpress.org/Version_3.8.4
http://seclists.org/oss-sec/2014/q3/301

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
WordPress ¹öÀü 3.8.4 ÀÌÀüÀÇ ¹öÀüµé
¸ðµç ¿î¿µÃ¼Á¦ ¸ðµç ¹öÀü
ÇØ°áÃ¥ WordPress ´Ù¿î·Îµå À¥ »çÀÌÆ®ÀÎ http://wordpress.org/download/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â WordPressÀÇ °¡Àå ÃֽŠ¹öÀü(3.8.4 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2014-2053,CVE-2014-5205,CVE-2014-5240,CVE-2014-5265,CVE-2014-5266 (CVE)
°ü·Ã URL 69096 (SecurityFocus)
°ü·Ã URL (ISS)