한국아사달

  • 인사말
  • 회사개요
  • 대표이사 소개
  • 조직체계
  • 매출현황
  • 회사연혁
  • 아사달 사옥
  • 아사달 소식
  • 창립 20주년 기념식
  • 창립 10주년 기념식
  • 대통령상 수상

아사달 소식

제목 :
[호스팅]제로보드, 그누보드, 테크노트 등 게시판 보안 버그 패치 안내
글쓴이:
호스팅팀
날짜:
2005.01.07. 21:12:34
조회:
48553
추천:
0
글쓴이IP
220.117.203.240
파일
    첨부파일이 없습니다.





국내에서 게시판으로 널리 사용되고 있는 제로보드와 그누보드, 테크노트 등에서 다수의 취약점이 발견되고 있습니다.
고객님들께서는 아래의 내용을 숙지하시어 반드시 보안 패치를 하시기 바라며 언제나 최신 버전으로 유지해 주시기 바랍니다.
1. 영향 : 원격의 해커가 웹서버 시스템 내 임의의 파일을 읽거나 악성프로그램을 넣어 실행하는 등 해당 취약점을 이용한 홈페이지의 대량 변조 등이 일어날 수 있습니다.
2. 해당 시스템
- 제로보드 4.1 pl5 이전 버전
- 그누(GNU)보드 3.41 이전 버전
- phpBB 2.0.11 이전 버전
- KorWeblog 1.6.2-cvs 및 이전 버전
- 테크노트 CGI 프로그램
3. 해결책 : 아래의 사항을 참조하여 게시판을 최신 버전으로 업그레이드하시기 바랍니다.
(1) 제로보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점
- 변경파일 : outlogin.php
outlogin.php의 59행에 다음과 같은 내용 추가
if(eregi("://",$_zb_path)) $_zb_path="./";
▶ 취약점 2 : 외부 PHP 소스 실행 취약점
- 변경파일 : include/write.php
include/write.php의 15행에 다음과 같은 내용 추가
if(eregi("://",$dir)) $dir=".";
include/write.php 맨 아래 위쪽에
if(eregi("://",$dir)) $dir=".";
▶ 취약점 3 : 크로스사이트스크립팅(XSS) 취약점
- 변경파일 : check_user_id.php
check_user_id.php의 3행을 다음과 같이 수정
$user_id = htmlspecialchars(trim($user_id));
(2) 그누보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점 (버전 3.40 이하)
- 변경파일 : index.php

index.php 에 다음과 같은 내용 추가
if (!$doc || ereg("://", $doc)) {
$doc = './main.php';
}
▶ 취약점 2 : 폼메일을 이용한 스팸 메일 발송 (버전 3.38 이하)
- 변경파일 : bbs/formmail.php
bbs/formmailsend.php

formmail.php 내에 다음의 내용 추가
// 회원에게 메일을 보내는 경우 메일이 같은지를 검사
if ($mb[mb_email] != $email) {
echo "";
exit;
}

formmailsend.php 내에 다음의 내용 추가 (3.38 이하 버전)
// 이전 폼 전송이 같은 도메인에서 온것이 아니라면 차단
if (!preg_match("/^(http|https)://{$_SERVER[HTTP_HOST]}/i",
strtolower($_SERVER[HTTP_REFERER]))) {
echo "";
exit;
}
(3) 테크노트
▶ 취약점 : 업로드 다운로드 취약점 이용 메인 페이지 삭제 (2004.10.14 이전 버전)

technote/library/Lib-5.cgi 소스를 편집기로 열고 소스 상단 부분의 빈줄 아무데다가 아래 코드 추가
exit if($FORM{'filename'}=~/;|%|\|..|||//);
technote/print.cgi 소스를 편집기로 열고 소스 상단 29~30 번 정도의 라인(버전마다 라인 다름)에 있는
&parse;
위 코드의 바로 아래 라인에다가 아래 코드를 추가
exit if($FORM{'img'}=~/;|%|\|..|||//);

4. 참조 사이트
o 제로보드 최신버전(4.1 pl5) 업그레이드
http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176
o 그누보드 최신버전(3.41) 업그레이드
http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910
o 테크노트 취약점 해결방안 : Lib-5.cgi 및 print.cgi에 소스 수정
http://www.technote.co.kr/cgi-sys/cgiwrap/cgitour/techtop/technote2/read.cgi?board=notice
o KorWeblog 취약점 해결방안 : 설치완료 후 불필요한 설치파일 삭제
http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&atid=300013
o phpBB 최신버전(2.0.11) 업그레이드
http://www.phpbb.com/downloads.php
o PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3) 업그레이드
http://www.php.net/downloads.php
글쓴이제목내용
전체글:1340 방문수:19981039
아사달 소식 게시판 리스트
번호 제목 작성자 등록일 조회
1340 개인정보관리책임자와 개인정보관리 담당 부서 변경 안내관리자2021.03.04. 10:25:02721
1339 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2021.02.22. 11:30:49650
1338 [도메인] 국가도메인 시스템 기능개선 작업 안내도메인팀2021.02.22. 11:29:03592
1337 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2020.12.24. 10:28:132147
1336 아사달, 신용보증기금 '최고일자리 기업' 선정 - 머니투데이이동규2020.12.21. 11:47:091923
1335 웹브라우저 휴대폰 결제 가능 안내아사달2020.10.12. 17:37:043040
1334 신용카드 결제 가능 웹브라우저 추가 안내아사달2020.09.18. 10:24:243169
1333 [호스팅] LGU+ 가산센터 백본 스위치 교체 작업 안내호스팅팀2020.04.21. 18:29:586372
1332 [호스팅] LGU+ 가산센터 백본 스위치 점검 작업 안내호스팅팀2020.04.17. 14:00:094506
1331 아사달, 머니투데이 선정 '굿컴퍼니 대상 4년 연속상' 수상 총무실2019.10.21. 13:41:366890
1330 [도메인] 국가도메인 등록관리 시스템 나주 이전에 따른 서비스 일시 중지 안내도메인팀2019.10.17. 14:51:145928
1329 [호스팅] 웹호스팅 일부 서버 장애 안내호스팅팀2019.08.21. 15:52:236324
1328 [호스팅] 보안이 취약한 SAP 시스템에 대한 공격기법 공개에 따른 보안 강화 권고호스팅팀2019.05.10. 14:24:156652
1327 [호스팅] 2019년 5월 23일(목) LGU+ 가산 IDC 장비 변경 작업 안내호스팅팀2019.05.07. 15:52:256111
1326 [호스팅] 웹방화벽 및 네트워크 점검 작업 안내호스팅팀2019.03.28. 15:35:075717
1325 [호스팅] 웹호스팅 서비스 장애공지호스팅2019.03.23. 17:26:115538
1324 [호스팅] 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고호스팅2019.03.07. 10:23:125762
1323 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.08.14. 10:17:5010655
1322 [도메인] 국가도메인 인터넷주소센터 입주건물 전기 공사 안내도메인팀2018.08.07. 13:14:476776
1321 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.07.16. 18:19:176354
1320 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.06.04. 15:29:586643
1319 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.05.24. 17:46:346449
1318 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.04.12. 14:33:287363
1317 [도메인] 국가도메인 시스템 점검 관련 작업 안내 도메인팀2018.03.23. 10:33:028114
1316 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.03.13. 09:34:596673
1315 [SI] ㈜아사달 중소기업 통합관리시스템(기업마당)의 운영 및 유지관리 사업 계약 - 머니투데이아사달2018.02.14. 11:30:119001
1314 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.01.25. 17:06:148097
1313 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2018.01.10. 14:05:598211
1312 [공지] 웹호스팅/서버호스팅 서버 보안 점검 및 전원 장비 점검 작업호스팅팀2017.12.14. 17:48:019026
1311 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.11.13. 13:43:308927
1310 [호스팅] 아사달 홈페이지 장애가 해결되었습니다.호스팅팀2017.10.26. 10:50:437786
1309 [도메인팀] 한국인터넷진흥원의 .KR / .한국의 만기 정책 개정도메인팀2017.09.28. 19:28:017984
1308 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.09.21. 14:37:087956
1307 [디자인몰] 아사달 디자인몰 서버 장애 복구 현황 공지디자인몰2017.08.25. 12:01:009185
1306 [장애공지] 디자인몰 다운로드 장애 발생 공지디자인몰2017.08.24. 18:23:487769
1305 자회사 연길아사달과기개발유한공사 영업허가증 연장아사달2017.07.05. 10:28:308847
1304 [도메인] 국가도메인 시스템 점검 관련 작업 안내도메인팀2017.06.27. 11:12:537954
1303 [도메인] .KR .한국 도메인 시스템 점검 안내도메인팀2017.05.16. 11:51:348527
1302 [고객지원] 근로자의 날 및 제19대 대통령선거일 휴무 안내아사달2017.04.28. 17:59:158657
1301 [SI] 아사달, 2017년 '기업마당' 운영 및 유지관리 맡아 - 머니투데이아사달2017.01.22. 20:50:4710737
1300 [SI] 아사달, "공공 SI시장 진입, 3년 만에 430억원 수주" - 머니투데이아사달2016.10.11. 17:18:5413473
1299 (주)아사달 NICE 기술 평가 우수기업 인증 안내 (주)아사달2016.09.22. 13:18:5912569
1298 [고객지원] 2016 추석 연휴 고객지원 안내아사달2016.09.09. 17:28:4211936
1297 [디자인몰] 신규 서비스 무한숍 오픈디자인몰2016.05.24. 17:29:3315170
1296 [디자인몰] 디지털콘텐츠몰 이용약관 개정에 따른 약관 변경 안내아사달2016.05.23. 18:54:3313904
1295 [고객지원] 5월 6일 임시 공휴일 지정에 따른 고객지원 업무 안내아사달2016.05.03. 10:50:3213595
1294 [고객지원] 2016 제20대 국회의원선거일(4월 13일) 휴무 안내아사달2016.04.11. 14:35:0213737
1293 2015년 (주)아사달 매출 153억원, 정규직 170명아사달2016.01.25. 23:28:1915195
1292 [도메인] .kr 3단계 도메인 등록 자격 안내도메인팀2015.12.23. 17:57:0314643
1291 아사달, 2015년 i-Award Korea의 '제12회 웹어워드코리아' 대상 수상 아사달2015.12.22. 14:36:3413755
1290 ㈜아사달 서창녕 대표이사 국무총리상 수상아사달2015.12.02. 17:31:4613354
1289 아사프로 CMS 솔루션 전자정부표준프레임워크 호환성 인증 아사달2015.11.13. 20:41:0813025
1288 [고객지원] 2015 추석 연휴 및 대체공휴일 고객지원 안내아사달2015.09.25. 16:36:2914265
1287 [고객지원] 8월 14일 임시공휴일 지정에 따른 고객지원 업무 안내아사달2015.08.11. 00:13:4215542
1286 [도메인] 국가도메인 등록관리시스템 통신모듈 개선 작업안내도메인팀2015.08.05. 16:53:0814260
1285 [도메인] 인터넷주소센터 웹방화벽 업그레이드 작업 안내도메인팀2015.06.29. 16:33:3617090
1284 [디자인몰] 디자인몰 일부 서버 복구 완료 안내디자인몰2015.06.08. 18:17:4915867
1283 [도메인] 국가도메인이름 등록관리시스템 및 WHOIS 시스템 점검 안내도메인팀2015.05.26. 20:14:0316222
1282 [도메인] 국가도메인 등록관리시스템 점검 안내도메인팀2015.05.11. 15:49:2016057
1281 [도메인] 국가도메인 등록관리시스템 점검 안내도메인팀2015.04.06. 13:45:4817090
1280 2014년 (주)아사달 매출 113억원으로 전년 대비 50% 증가아사달2015.01.28. 23:56:2317254
1279 [도메인] 국가도메인 등록관리시스템 통신 모듈 개선도메인팀2014.11.25. 14:19:5218159
1278 [도메인] 인터넷주소센터 스위치 작업 및 국가도메인 DB 서버 용량 강화에 따른 서비스 중단 안내도메인팀2014.11.12. 15:52:2016469
1277  [고객지원] 10월 16일~17일 아사달 직원 워크숍에 따른 고객지원 안내 아사달2014.10.17. 09:42:5516513
1276 홈페이지 서버 작업 공지아사달2014.09.17. 20:46:1116203
1275 [고객지원] 아사달 홈페이지 접속장애가 있었습니다.아사달2014.09.15. 11:31:2016709
1274 [고객지원] 추석연휴 및 대체공휴일 고객지원 안내아사달2014.09.05. 17:57:4915747
1273 [아사달] 한국저작권위원회 UCI 등록관리기관으로 지정아사달2014.08.04. 15:45:5016034
1272 [고객지원] 5월 15일 ~ 16일 아사달 직원 워크숍에 따른 고객지원 안내아사달2014.05.15. 11:01:5817707
1271 [도메인] 국가도메인 등록관리시스템 암호화 따른 서비스 중단 안내도메인팀2014.05.08. 17:25:4915993
1270 세월호 침몰 사건의 희생자와 유가족들에게 삼가 애도를 표시합니다.아사달2014.04.24. 11:41:4979713
1269 아사달과 한국저작권위원회 업무협약 체결디자인몰2014.03.20. 17:23:1017337
1268 [도메인] 국가도메인 등록정보 암호화에 따른 서비스 중단 안내도메인팀2014.03.17. 10:08:3516066
1267 [도메인] 국가도메인 주민등록번호 파기에 따른 서비스 중단 안내도메인팀2014.01.28. 16:49:4218847
1266 [도메인] 인터넷주소자원센터 회선 교체 및 이중화 작업 안내도메인팀2014.01.08. 14:29:5717986
1265 [도메인] KISA 국가도메인 등록관리시스템 DB 개선 및 DNSSEC 장비 이중화 작업 안내도메인팀2013.12.12. 10:40:2217974
1264 [긴급공지] 11월 21일 KT 전기 설비 긴급점검으로 인한 전화 지연 안내아사달2013.11.21. 10:26:3118280
1263 [디자인몰] 낱개숍 내에서 편리하게 정액숍 다운로드가 가능합니다. 디자인몰2013.10.31. 15:21:3517391
1262 [고객지원] 10월 1일~2일 아사달 직원 워크숍에 따른 고객지원 안내아사달2013.09.27. 13:18:0617097
1261 [도메인] KISA 인주센터 백본 라우터 교체 작업 안내도메인팀 2013.09.16. 09:41:0117995
1260 [디자인몰] 디자인몰 콘텐츠 150만개 돌파 디자인몰2013.08.26. 11:31:5817347
1259 [아사달] 정보통신 공사업 등록아사달2013.06.03. 21:34:1026713
1258 [도메인] KISA 방화벽 교체 작업 진행으로 인한 서비스 중단 안내도메인팀2013.05.23. 13:00:3621895
1257 [회원관리] 회원 주민등록번호 파기 완료하였습니다.회원관리2013.04.22. 09:39:0628162
1256 [디자인몰] 정액숍 세트 상품 다운로드 가능디자인몰2013.03.07. 14:56:2220952
1255 [디자인몰] 웹용 일러스트 AI 파일 제공디자인몰2013.03.07. 14:54:1720906
1254 [머니투데이] 신용카드정보 입력 유도하는 피싱 페이지 기승아사달2013.02.05. 19:56:4521466
1253 [회원관리] 개인회원의 실명인증 절차를 없앱니다. 고객지원2013.02.05. 16:13:2321032
1252 [아사달] 아사달 이모티콘, 카톡 아이템스토어 판매아사달2013.02.01. 11:46:3323213
1251 [긴급 공지] NICE 카드 결제를 위장한 가짜 페이지 피싱 주의 안내입니다.호스팅2013.01.28. 23:11:2525587
1250 [도메인] KISA 웹방화벽 이중화 작업으로 인한 서비스 중단 안내도메인2013.01.24. 15:41:0319695
1249 [호스팅] 위키호스팅 신청 시 han.kr 도메인 무료 제공 안내호스팅2013.01.04. 18:00:2618710
1248 [아사달] 회원약관 개정 및 회원암호 작성규칙 적용 안내고객지원2012.12.20. 16:18:1117864
1247 아사달 대표전화번호 변경 : 1544-8442아사달2012.12.11. 11:19:4317667
1246 [호스팅] 게임 서버 통합 작업 안내아사달2012.12.07. 16:44:2516688
1245 [도메인] KISA 국가도메인 DB 보안성 장비 이전 작업이 있어 안내드립니다.도메인2012.12.06. 09:52:3816722
1244 [호스팅] 스마트호스팅 홈페이지 우수제작사례 페이지 오픈!!호스팅2012.11.19. 18:14:2416591
1243 [전자신문] 아사달, 위키호스팅 국내 최초 오픈호스팅2012.11.12. 09:28:3116516
1242 [호스팅] 무료 위키 웹호스팅 서비스 오픈호스팅2012.11.01. 17:55:5618444
1241 [고객지원] 개인정보취급방침 개정 안내고객지원2012.11.01. 10:46:1416636
상세목록 이미지목록 글쓰기
1 [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14]