English

◀◁ 뒤로 취약점ID 23210 위험도 30 포트 8080, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Symantec Backup Exec System RM는 'filename' 인수를 통한 디렉토리 탐색 취약점에 취약하다. Symantec Backup Exec System Recovery Manager 7.0.4 이전의 7.x 그리고 8.0.2 이전의 8.x 버전들은 '/axis/reportsfile' 스크립트의 'filename' 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 검증으로 인하여, 원격지의 공격자가 시스템 상에 있는 디렉토리들을 탐색할 수 있게 해 줄 수 있다. "dot dot" 시퀀스들(\..\)을 포함하는 잘 조작된 HTTP GET 요청을 보냄으로써, 원격지의 공격자는 영향을 받는 시스템 상에 있는 임의의 파일들을 읽어 낼 수 있다. * 참고 사이트: http://securityresponse.symantec.com/avcenter/security/Content/2008.05.28c.html http://secunia.com/advisories/30432 * 영향을 받는 플랫폼: Symantec, BackupExec System Recovery Manager 7.0 Symantec, BackupExec System Recovery Manager 7.0.1 Symantec, BackupExec System Recovery Manager 7.0.2 Symantec, BackupExec System Recovery Manager 7.0.3 Symantec, BackupExec System Recovery Manager 8.0 Symantec, BackupExec System Recovery Manager 8.0.1 해결책 다음 SYM08-013을 참조하여 Backup Exec System Recovery Manager의 최신 버전(7.0.4 혹은 8.0.2 혹은 이후)으로 업그레이드 하여야 한다: http://securityresponse.symantec.com/avcenter/security/Content/2008.05.28c.html 관련 URL CVE-2008-2512 (CVE) 관련 URL 29350 (SecurityFocus) 관련 URL 42714 (ISS)