한국아사달

  • 인사말
  • 회사개요
  • 대표이사 소개
  • 조직체계
  • 매출현황
  • 회사연혁
  • 아사달 사옥
  • 아사달 소식
  • 창립 20주년 기념식
  • 창립 10주년 기념식
  • 대통령상 수상

아사달 소식

제목 :
[호스팅]제로보드, 그누보드, 테크노트 등 게시판 보안 버그 패치 안내
글쓴이:
호스팅팀
날짜:
2005.01.07. 21:12:34
조회:
48215
추천:
0
글쓴이IP
220.117.203.240
파일
    첨부파일이 없습니다.





국내에서 게시판으로 널리 사용되고 있는 제로보드와 그누보드, 테크노트 등에서 다수의 취약점이 발견되고 있습니다.
고객님들께서는 아래의 내용을 숙지하시어 반드시 보안 패치를 하시기 바라며 언제나 최신 버전으로 유지해 주시기 바랍니다.
1. 영향 : 원격의 해커가 웹서버 시스템 내 임의의 파일을 읽거나 악성프로그램을 넣어 실행하는 등 해당 취약점을 이용한 홈페이지의 대량 변조 등이 일어날 수 있습니다.
2. 해당 시스템
- 제로보드 4.1 pl5 이전 버전
- 그누(GNU)보드 3.41 이전 버전
- phpBB 2.0.11 이전 버전
- KorWeblog 1.6.2-cvs 및 이전 버전
- 테크노트 CGI 프로그램
3. 해결책 : 아래의 사항을 참조하여 게시판을 최신 버전으로 업그레이드하시기 바랍니다.
(1) 제로보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점
- 변경파일 : outlogin.php
outlogin.php의 59행에 다음과 같은 내용 추가
if(eregi("://",$_zb_path)) $_zb_path="./";
▶ 취약점 2 : 외부 PHP 소스 실행 취약점
- 변경파일 : include/write.php
include/write.php의 15행에 다음과 같은 내용 추가
if(eregi("://",$dir)) $dir=".";
include/write.php 맨 아래 위쪽에
if(eregi("://",$dir)) $dir=".";
▶ 취약점 3 : 크로스사이트스크립팅(XSS) 취약점
- 변경파일 : check_user_id.php
check_user_id.php의 3행을 다음과 같이 수정
$user_id = htmlspecialchars(trim($user_id));
(2) 그누보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점 (버전 3.40 이하)
- 변경파일 : index.php

index.php 에 다음과 같은 내용 추가
if (!$doc || ereg("://", $doc)) {
$doc = './main.php';
}
▶ 취약점 2 : 폼메일을 이용한 스팸 메일 발송 (버전 3.38 이하)
- 변경파일 : bbs/formmail.php
bbs/formmailsend.php

formmail.php 내에 다음의 내용 추가
// 회원에게 메일을 보내는 경우 메일이 같은지를 검사
if ($mb[mb_email] != $email) {
echo "";
exit;
}

formmailsend.php 내에 다음의 내용 추가 (3.38 이하 버전)
// 이전 폼 전송이 같은 도메인에서 온것이 아니라면 차단
if (!preg_match("/^(http|https)://{$_SERVER[HTTP_HOST]}/i",
strtolower($_SERVER[HTTP_REFERER]))) {
echo "";
exit;
}
(3) 테크노트
▶ 취약점 : 업로드 다운로드 취약점 이용 메인 페이지 삭제 (2004.10.14 이전 버전)

technote/library/Lib-5.cgi 소스를 편집기로 열고 소스 상단 부분의 빈줄 아무데다가 아래 코드 추가
exit if($FORM{'filename'}=~/;|%|\|..|||//);
technote/print.cgi 소스를 편집기로 열고 소스 상단 29~30 번 정도의 라인(버전마다 라인 다름)에 있는
&parse;
위 코드의 바로 아래 라인에다가 아래 코드를 추가
exit if($FORM{'img'}=~/;|%|\|..|||//);

4. 참조 사이트
o 제로보드 최신버전(4.1 pl5) 업그레이드
http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176
o 그누보드 최신버전(3.41) 업그레이드
http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910
o 테크노트 취약점 해결방안 : Lib-5.cgi 및 print.cgi에 소스 수정
http://www.technote.co.kr/cgi-sys/cgiwrap/cgitour/techtop/technote2/read.cgi?board=notice
o KorWeblog 취약점 해결방안 : 설치완료 후 불필요한 설치파일 삭제
http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&atid=300013
o phpBB 최신버전(2.0.11) 업그레이드
http://www.phpbb.com/downloads.php
o PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3) 업그레이드
http://www.php.net/downloads.php
글쓴이제목내용
전체글:1334 방문수:19430300
아사달 소식 게시판 리스트
번호 제목 작성자 등록일 조회
1334 신용카드 결제 가능 웹브라우저 추가 안내아사달2020.09.18. 10:24:2423
1333 [호스팅] LGU+ 가산센터 백본 스위치 교체 작업 안내호스팅팀2020.04.21. 18:29:583293
1332 [호스팅] LGU+ 가산센터 백본 스위치 점검 작업 안내호스팅팀2020.04.17. 14:00:091684
1331 아사달, 머니투데이 선정 '굿컴퍼니 대상 4년 연속상' 수상 총무실2019.10.21. 13:41:363792
1330 [도메인] 국가도메인 등록관리 시스템 나주 이전에 따른 서비스 일시 중지 안내도메인팀2019.10.17. 14:51:143172
1329 [호스팅] 웹호스팅 일부 서버 장애 안내호스팅팀2019.08.21. 15:52:233960
1328 [호스팅] 보안이 취약한 SAP 시스템에 대한 공격기법 공개에 따른 보안 강화 권고호스팅팀2019.05.10. 14:24:154487
1327 [호스팅] 2019년 5월 23일(목) LGU+ 가산 IDC 장비 변경 작업 안내호스팅팀2019.05.07. 15:52:254584
1326 [호스팅] 웹방화벽 및 네트워크 점검 작업 안내호스팅팀2019.03.28. 15:35:074288
1325 [호스팅] 웹호스팅 서비스 장애공지호스팅2019.03.23. 17:26:114030
1324 [호스팅] 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고호스팅2019.03.07. 10:23:124268
1323 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.08.14. 10:17:509294
1322 [도메인] 국가도메인 인터넷주소센터 입주건물 전기 공사 안내도메인팀2018.08.07. 13:14:475430
1321 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.07.16. 18:19:175113
1320 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.06.04. 15:29:585352
1319 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.05.24. 17:46:345158
1318 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.04.12. 14:33:286110
1317 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.03.23. 10:33:026846
1316 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.03.13. 09:34:595347
1315 [SI] ㈜아사달 중소기업 통합관리시스템(기업마당)의 운영 및 유지관리 사업 계약 - 머니투데이아사달2018.02.14. 11:30:117595
1314 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.01.25. 17:06:146801
1313 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.01.10. 14:05:596907
1312 [공지] 웹호스팅/서버호스팅 서버 보안 점검 및 전원 장비 점검 작업호스팅팀2017.12.14. 17:48:017674
1311 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.11.13. 13:43:307478
1310 [호스팅] 아사달 홈페이지 장애가 해결되었습니다.호스팅팀2017.10.26. 10:50:436479
1309 [도메인팀] 한국인터넷진흥원의 .KR / .한국의 만기 정책 개정도메인팀2017.09.28. 19:28:016642
1308 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.09.21. 14:37:086691
1307 [디자인몰] 아사달 디자인몰 서버 장애 복구 현황 공지디자인몰2017.08.25. 12:01:007900
1306 [장애공지] 디자인몰 다운로드 장애 발생 공지디자인몰2017.08.24. 18:23:486485
1305 자회사 연길아사달과기개발유한공사 영업허가증 연장아사달2017.07.05. 10:28:307551
1304 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.06.27. 11:12:536668
1303 [도메인] .KR .한국 도메인 시스템 점검 안내도메인팀2017.05.16. 11:51:347268
1302 [고객지원] 근로자의 날 및 제19대 대통령선거일 휴무 안내아사달2017.04.28. 17:59:157320
1301 [SI] 아사달, 2017년 '기업마당' 운영 및 유지관리 맡아 - 머니투데이아사달2017.01.22. 20:50:479377
1300 [SI] 아사달, "공공 SI시장 진입, 3년 만에 430억원 수주" - 머니투데이아사달2016.10.11. 17:18:5412101
1299 (주)아사달 NICE 기술 평가 우수기업 인증 안내 (주)아사달2016.09.22. 13:18:5911185
1298 [고객지원] 2016 추석 연휴 고객지원 안내아사달2016.09.09. 17:28:4210639
1297 [디자인몰] 신규 서비스 무한숍 오픈디자인몰2016.05.24. 17:29:3313900
1296 [디자인몰] 디지털콘텐츠몰 이용약관 개정에 따른 약관 변경 안내아사달2016.05.23. 18:54:3312576
1295 [고객지원] 5월 6일 임시 공휴일 지정에 따른 고객지원 업무 안내아사달2016.05.03. 10:50:3212258
1294 [고객지원] 2016 제20대 국회의원선거일(4월 13일) 휴무 안내아사달2016.04.11. 14:35:0212444
1293 2015년 (주)아사달 매출 153억원, 정규직 170명아사달2016.01.25. 23:28:1913934
1292 [도메인] .kr 3단계 도메인 등록 자격 안내도메인팀2015.12.23. 17:57:0313313
1291 아사달, 2015년 i-Award Korea의 '제12회 웹어워드코리아' 대상 수상 아사달2015.12.22. 14:36:3412419
1290 ㈜아사달 서창녕 대표이사 국무총리상 수상아사달2015.12.02. 17:31:4611990
1289 아사프로 CMS 솔루션 전자정부표준프레임워크 호환성 인증 아사달2015.11.13. 20:41:0811683
1288 [고객지원] 2015 추석 연휴 및 대체공휴일 고객지원 안내아사달2015.09.25. 16:36:2913019
1287 [고객지원] 8월 14일 임시공휴일 지정에 따른 고객지원 업무 안내아사달2015.08.11. 00:13:4214278
1286 [도메인] 국가도메인 등록관리시스템 통신모듈 개선 작업안내도메인팀2015.08.05. 16:53:0813037
1285 [도메인] 인터넷주소센터 웹방화벽 업그레이드 작업 안내도메인팀2015.06.29. 16:33:3615752
1284 [디자인몰] 디자인몰 일부 서버 복구 완료 안내디자인몰2015.06.08. 18:17:4914604
1283 [도메인] 국가도메인이름 등록관리시스템 및 WHOIS 시스템 점검 안내도메인팀2015.05.26. 20:14:0314977
1282 [도메인] 국가도메인 등록관리시스템 점검 안내도메인팀2015.05.11. 15:49:2014790
1281 [도메인] 국가도메인 등록관리시스템 점검 안내도메인팀2015.04.06. 13:45:4815733
1280 2014년 (주)아사달 매출 113억원으로 전년 대비 50% 증가아사달2015.01.28. 23:56:2316468
1279 [도메인] 국가도메인 등록관리시스템 통신 모듈 개선도메인팀2014.11.25. 14:19:5216911
1278 [도메인] 인터넷주소센터 스위치 작업 및 국가도메인 DB 서버 용량 강화에 따른 서비스 중단 안내도메인팀2014.11.12. 15:52:2015285
1277  [고객지원] 10월 16일~17일 아사달 직원 워크숍에 따른 고객지원 안내 아사달2014.10.17. 09:42:5515252
1276 홈페이지 서버 작업 공지아사달2014.09.17. 20:46:1114961
1275 [고객지원] 아사달 홈페이지 접속장애가 있었습니다.아사달2014.09.15. 11:31:2015492
1274 [고객지원] 추석연휴 및 대체공휴일 고객지원 안내아사달2014.09.05. 17:57:4914490
1273 [아사달] 한국저작권위원회 UCI 등록관리기관으로 지정아사달2014.08.04. 15:45:5014761
1272 [고객지원] 5월 15일 ~ 16일 아사달 직원 워크숍에 따른 고객지원 안내아사달2014.05.15. 11:01:5816488
1271 [도메인] 국가도메인 등록관리시스템 암호화 따른 서비스 중단 안내도메인팀2014.05.08. 17:25:4914765
1270 세월호 침몰 사건의 희생자와 유가족들에게 삼가 애도를 표시합니다.아사달2014.04.24. 11:41:4978445
1269 아사달과 한국저작권위원회 업무협약 체결디자인몰2014.03.20. 17:23:1016110
1268 [도메인] 국가도메인 등록정보 암호화에 따른 서비스 중단 안내도메인팀2014.03.17. 10:08:3514811
1267 [도메인] 국가도메인 주민등록번호 파기에 따른 서비스 중단 안내도메인팀2014.01.28. 16:49:4217650
1266 [도메인] 인터넷주소자원센터 회선 교체 및 이중화 작업 안내도메인팀2014.01.08. 14:29:5716734
1265 [도메인] KISA 국가도메인 등록관리시스템 DB 개선 및 DNSSEC 장비 이중화 작업 안내도메인팀2013.12.12. 10:40:2216782
1264 [긴급공지] 11월 21일 KT 전기 설비 긴급점검으로 인한 전화 지연 안내아사달2013.11.21. 10:26:3117089
1263 [디자인몰] 낱개숍 내에서 편리하게 정액숍 다운로드가 가능합니다. 디자인몰2013.10.31. 15:21:3516142
1262 [고객지원] 10월 1일~2일 아사달 직원 워크숍에 따른 고객지원 안내아사달2013.09.27. 13:18:0615897
1261 [도메인] KISA 인주센터 백본 라우터 교체 작업 안내도메인팀 2013.09.16. 09:41:0116814
1260 [디자인몰] 디자인몰 콘텐츠 150만개 돌파 디자인몰2013.08.26. 11:31:5816098
1259 [아사달] 정보통신 공사업 등록아사달2013.06.03. 21:34:1025498
1258 [도메인] KISA 방화벽 교체 작업 진행으로 인한 서비스 중단 안내도메인팀2013.05.23. 13:00:3620666
1257 [회원관리] 회원 주민등록번호 파기 완료하였습니다.회원관리2013.04.22. 09:39:0626970
1256 [디자인몰] 정액숍 세트 상품 다운로드 가능디자인몰2013.03.07. 14:56:2219768
1255 [디자인몰] 웹용 일러스트 AI 파일 제공디자인몰2013.03.07. 14:54:1719643
1254 [머니투데이] 신용카드정보 입력 유도하는 피싱 페이지 기승아사달2013.02.05. 19:56:4520281
1253 [회원관리] 개인회원의 실명인증 절차를 없앱니다. 고객지원2013.02.05. 16:13:2319780
1252 [아사달] 아사달 이모티콘, 카톡 아이템스토어 판매아사달2013.02.01. 11:46:3321967
1251 [긴급 공지] NICE 카드 결제를 위장한 가짜 페이지 피싱 주의 안내입니다.호스팅2013.01.28. 23:11:2524359
1250 [도메인] KISA 웹방화벽 이중화 작업으로 인한 서비스 중단 안내도메인2013.01.24. 15:41:0318420
1249 [호스팅] 위키호스팅 신청 시 han.kr 도메인 무료 제공 안내호스팅2013.01.04. 18:00:2617494
1248 [아사달] 회원약관 개정 및 회원암호 작성규칙 적용 안내고객지원2012.12.20. 16:18:1116636
1247 아사달 대표전화번호 변경 : 1544-8442아사달2012.12.11. 11:19:4316410
1246 [호스팅] 게임 서버 통합 작업 안내아사달2012.12.07. 16:44:2515490
1245 [도메인] KISA 국가도메인 DB 보안성 장비 이전 작업이 있어 안내드립니다.도메인2012.12.06. 09:52:3815506
1244 [호스팅] 스마트호스팅 홈페이지 우수제작사례 페이지 오픈!!호스팅2012.11.19. 18:14:2415385
1243 [전자신문] 아사달, 위키호스팅 국내 최초 오픈호스팅2012.11.12. 09:28:3115263
1242 [호스팅] 무료 위키 웹호스팅 서비스 오픈호스팅2012.11.01. 17:55:5617071
1241 [고객지원] 개인정보취급방침 개정 안내고객지원2012.11.01. 10:46:1415390
1240 [디지털밸리뉴스] 아사달, 기업용 무료 홈페이지 제작 서비스아사달2012.10.30. 22:08:1717434
1239 [머니투데이] 아사달, 무료 홈페이지 서비스 개시아사달2012.10.30. 22:05:4716071
1238 [전자책]아사달 전자책 서비스 오픈 안내아사달2012.10.18. 10:26:4116103
1237 [회원관리] 기업회원 아이디 조회 서비스 실시회원관리2012.10.17. 14:13:2816141
1236 [고객지원] 10월 11일 ~ 12일 아사달 직원 워크숍에 따른 고객지원 안내아사달2012.10.11. 20:07:4714662
1235 [전자신문]아사달, 디자인 이미지 저작권 세미나 개최 아사달2012.10.09. 17:19:1616014
상세목록 이미지목록 글쓰기
1 [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14]