한국아사달

  • 인사말
  • 회사개요
  • 대표이사 소개
  • 조직체계
  • 매출현황
  • 회사연혁
  • 아사달 사옥
  • 아사달 소식
  • 창립 20주년 기념식
  • 창립 10주년 기념식
  • 대통령상 수상

아사달 소식

제목 :
[호스팅]제로보드, 그누보드, 테크노트 등 게시판 보안 버그 패치 안내
글쓴이:
호스팅팀
날짜:
2005.01.07. 21:12:34
조회:
48218
추천:
0
글쓴이IP
220.117.203.240
파일
    첨부파일이 없습니다.





국내에서 게시판으로 널리 사용되고 있는 제로보드와 그누보드, 테크노트 등에서 다수의 취약점이 발견되고 있습니다.
고객님들께서는 아래의 내용을 숙지하시어 반드시 보안 패치를 하시기 바라며 언제나 최신 버전으로 유지해 주시기 바랍니다.
1. 영향 : 원격의 해커가 웹서버 시스템 내 임의의 파일을 읽거나 악성프로그램을 넣어 실행하는 등 해당 취약점을 이용한 홈페이지의 대량 변조 등이 일어날 수 있습니다.
2. 해당 시스템
- 제로보드 4.1 pl5 이전 버전
- 그누(GNU)보드 3.41 이전 버전
- phpBB 2.0.11 이전 버전
- KorWeblog 1.6.2-cvs 및 이전 버전
- 테크노트 CGI 프로그램
3. 해결책 : 아래의 사항을 참조하여 게시판을 최신 버전으로 업그레이드하시기 바랍니다.
(1) 제로보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점
- 변경파일 : outlogin.php
outlogin.php의 59행에 다음과 같은 내용 추가
if(eregi("://",$_zb_path)) $_zb_path="./";
▶ 취약점 2 : 외부 PHP 소스 실행 취약점
- 변경파일 : include/write.php
include/write.php의 15행에 다음과 같은 내용 추가
if(eregi("://",$dir)) $dir=".";
include/write.php 맨 아래 위쪽에
if(eregi("://",$dir)) $dir=".";
▶ 취약점 3 : 크로스사이트스크립팅(XSS) 취약점
- 변경파일 : check_user_id.php
check_user_id.php의 3행을 다음과 같이 수정
$user_id = htmlspecialchars(trim($user_id));
(2) 그누보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점 (버전 3.40 이하)
- 변경파일 : index.php

index.php 에 다음과 같은 내용 추가
if (!$doc || ereg("://", $doc)) {
$doc = './main.php';
}
▶ 취약점 2 : 폼메일을 이용한 스팸 메일 발송 (버전 3.38 이하)
- 변경파일 : bbs/formmail.php
bbs/formmailsend.php

formmail.php 내에 다음의 내용 추가
// 회원에게 메일을 보내는 경우 메일이 같은지를 검사
if ($mb[mb_email] != $email) {
echo "";
exit;
}

formmailsend.php 내에 다음의 내용 추가 (3.38 이하 버전)
// 이전 폼 전송이 같은 도메인에서 온것이 아니라면 차단
if (!preg_match("/^(http|https)://{$_SERVER[HTTP_HOST]}/i",
strtolower($_SERVER[HTTP_REFERER]))) {
echo "";
exit;
}
(3) 테크노트
▶ 취약점 : 업로드 다운로드 취약점 이용 메인 페이지 삭제 (2004.10.14 이전 버전)

technote/library/Lib-5.cgi 소스를 편집기로 열고 소스 상단 부분의 빈줄 아무데다가 아래 코드 추가
exit if($FORM{'filename'}=~/;|%|\|..|||//);
technote/print.cgi 소스를 편집기로 열고 소스 상단 29~30 번 정도의 라인(버전마다 라인 다름)에 있는
&parse;
위 코드의 바로 아래 라인에다가 아래 코드를 추가
exit if($FORM{'img'}=~/;|%|\|..|||//);

4. 참조 사이트
o 제로보드 최신버전(4.1 pl5) 업그레이드
http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176
o 그누보드 최신버전(3.41) 업그레이드
http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910
o 테크노트 취약점 해결방안 : Lib-5.cgi 및 print.cgi에 소스 수정
http://www.technote.co.kr/cgi-sys/cgiwrap/cgitour/techtop/technote2/read.cgi?board=notice
o KorWeblog 취약점 해결방안 : 설치완료 후 불필요한 설치파일 삭제
http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&atid=300013
o phpBB 최신버전(2.0.11) 업그레이드
http://www.phpbb.com/downloads.php
o PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3) 업그레이드
http://www.php.net/downloads.php
글쓴이제목내용
전체글:1334 방문수:19432194
아사달 소식 게시판 리스트
번호 제목 작성자 등록일 조회
34 한글.com 도메인 2개월 무상 연장도메인부2002.04.13. 11:45:0317360
33 한글.com 도메인 등록기관 이전 가능도메인부2002.03.28. 14:34:5117660
32 도메인 약관 개정 공지도메인부2002.03.25. 17:21:4516789
31 온라인우표제 실시에 따른 전체 고객 공지아사달2002.03.22. 13:12:3618830
30 웹호스팅 서비스 항목 조정 안내웹서비스부2002.03.18. 18:00:2816999
29 부동산포탈 사이트와 도메인 등록 제휴아사달2002.03.08. 09:41:5917432
28 파킹/포워딩 고객 1만명 돌파아사달2002.02.24. 18:29:2517608
27 인터넷제국의 웹호스팅 사업 인수아사달2002.02.24. 18:04:2117586
26 올도메인스 한글.com 도메인 등록정보 변경 가능아사달2002.02.19. 20:51:3018067
25 예전 파킹 서비스 이용자님들께아사달2002.02.14. 12:02:5917810
24 아사보드 스킨 20개 추가아사달2002.01.23. 17:52:2118525
23 1월 20 일 영문, 한글.com 실시간 자동등록 일시중단 예고도메인부2002.01.19. 13:30:4217842
22 아사달 상표 등록아사달2002.01.08. 15:33:1817633
21 파킹화면 카운터 감추기아사달2002.01.04. 15:05:2218029
20 서비스 이용요금 조정아사달2001.12.29. 01:44:5417675
19 12월 22 일 영문, 한글.com 실시간 자동등록 일시중단 예고도메인부2001.12.22. 14:03:3217304
18 닷비즈 중복신청된 예약등록 도메인에 대한 환불공지도메인부2001.12.17. 13:20:0417212
17 아사달 사무실 확장 이전아사달2001.12.11. 17:59:2018353
16 CF 도메인에 대한 아사달의 대책공지도메인부2001.12.06. 15:29:3617970
15 닷디제이(.DJ) 도메인 실시간 자동등록도메인부2001.12.01. 10:07:4417319
14 11월 18 일 영문, 한글.com 실시간 자동등록 일시중단 예고도메인부2001.11.17. 15:18:2817383
13 alldomains 등록 한글도메인 6개월 기간연장 완료도메인부2001.11.09. 15:18:0817049
12 닷비즈(.biz) 도메인 실시간 자동등록 (11월 7일 오후 2:00)도메인부2001.11.05. 15:17:3617299
11 다국어 도메인 6개월 무상기간연장 일정도메인부2001.10.31. 15:16:1717117
10 인터넷키워드 신규 등록을 잠정적 중지도메인부2001.10.26. 15:16:5017081
9 현대/기아 도메인 관리아사달2001.11.16. 22:40:5313315
8 아사보드(AsaBoard) 스킨게시판을 무료로 고객님께 드립니다.웹서비스부2001.10.24. 15:15:4126616
7 [팁]ftp 패스워드 변경 방법.웹서비스부2001.10.17. 15:14:5218541
6 .biz IP 클레임 관련 영문메일 처리 방법도메인부2001.10.08. 15:13:3818539
5 .info 도메인 실시간 자동 등록 중도메인부2001.10.05. 15:12:4517697
4 자체 제작한 카운터/접속통계 무료 제공 웹서비스부2001.09.01. 15:11:5518414
상세목록 이미지목록 글쓰기
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] 14