English

◀◁ 뒤로 취약점ID 28140 위험도 30 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 Commerce Server 2002의 버전 정보에 따르면 해당 서버에는 인증 우회 취약점이 존재한다. Microsoft Commerce Server는 전자 상거래 사이트들을 만들고 배치하고 분석하는 데 사용되는 웹 서버 제품이다. SP2 이전의 Microsoft Commerce Server 2002는 원격지의 공격자가 authfiles 디렉토리에 있는 예제 ASP 파일들을 이용하여 인증을 우회하고 패스워드를 모르는 정상 사용자로서 로그온 할 수 있게 해 준다. 만약 공격자가 정상 사용자명을 알고 있다면 그 공격자는 정상 사용자명과 임의의 패스워드를 가지고 authfiles/login.asp로 로그인을 시도한 후 메인 사이트에 두 번 접속함으로써 인증을 우회하고 비인가된 액세스를 얻어낼 수 있다. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/archive/1/427974/100/0/threaded http://secunia.com/advisories/9176 http://www.osvdb.org/24121 * 영향을 받는 플랫폼: Microsoft Commerce Server 2002 Microsoft Commerce Server 2002 SP1 Microsoft Windows Any version 해결책 Microsoft Commerce Server 2002는 더 이상 지원되지 않는다. 최신 버전의 Microsoft Commerce Server로 업그레이드 할 것을 권고한다. 관련 URL CVE-2006-1257 (CVE) 관련 URL 17134 (SecurityFocus) 관련 URL 25330 (ISS)