한국아사달

  • 인사말
  • 회사개요
  • 대표이사 소개
  • 조직체계
  • 매출현황
  • 회사연혁
  • 아사달 사옥
  • 아사달 소식
  • 창립 20주년 기념식
  • 창립 10주년 기념식
  • 대통령상 수상

아사달 소식

제목 :
[호스팅]제로보드, 그누보드, 테크노트 등 게시판 보안 버그 패치 안내
글쓴이:
호스팅팀
날짜:
2005.01.07. 21:12:34
조회:
48547
추천:
0
글쓴이IP
220.117.203.240
파일
    첨부파일이 없습니다.





국내에서 게시판으로 널리 사용되고 있는 제로보드와 그누보드, 테크노트 등에서 다수의 취약점이 발견되고 있습니다.
고객님들께서는 아래의 내용을 숙지하시어 반드시 보안 패치를 하시기 바라며 언제나 최신 버전으로 유지해 주시기 바랍니다.
1. 영향 : 원격의 해커가 웹서버 시스템 내 임의의 파일을 읽거나 악성프로그램을 넣어 실행하는 등 해당 취약점을 이용한 홈페이지의 대량 변조 등이 일어날 수 있습니다.
2. 해당 시스템
- 제로보드 4.1 pl5 이전 버전
- 그누(GNU)보드 3.41 이전 버전
- phpBB 2.0.11 이전 버전
- KorWeblog 1.6.2-cvs 및 이전 버전
- 테크노트 CGI 프로그램
3. 해결책 : 아래의 사항을 참조하여 게시판을 최신 버전으로 업그레이드하시기 바랍니다.
(1) 제로보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점
- 변경파일 : outlogin.php
outlogin.php의 59행에 다음과 같은 내용 추가
if(eregi("://",$_zb_path)) $_zb_path="./";
▶ 취약점 2 : 외부 PHP 소스 실행 취약점
- 변경파일 : include/write.php
include/write.php의 15행에 다음과 같은 내용 추가
if(eregi("://",$dir)) $dir=".";
include/write.php 맨 아래 위쪽에
if(eregi("://",$dir)) $dir=".";
▶ 취약점 3 : 크로스사이트스크립팅(XSS) 취약점
- 변경파일 : check_user_id.php
check_user_id.php의 3행을 다음과 같이 수정
$user_id = htmlspecialchars(trim($user_id));
(2) 그누보드
▶ 취약점 1 : 외부 PHP 소스 실행 취약점 (버전 3.40 이하)
- 변경파일 : index.php

index.php 에 다음과 같은 내용 추가
if (!$doc || ereg("://", $doc)) {
$doc = './main.php';
}
▶ 취약점 2 : 폼메일을 이용한 스팸 메일 발송 (버전 3.38 이하)
- 변경파일 : bbs/formmail.php
bbs/formmailsend.php

formmail.php 내에 다음의 내용 추가
// 회원에게 메일을 보내는 경우 메일이 같은지를 검사
if ($mb[mb_email] != $email) {
echo "";
exit;
}

formmailsend.php 내에 다음의 내용 추가 (3.38 이하 버전)
// 이전 폼 전송이 같은 도메인에서 온것이 아니라면 차단
if (!preg_match("/^(http|https)://{$_SERVER[HTTP_HOST]}/i",
strtolower($_SERVER[HTTP_REFERER]))) {
echo "";
exit;
}
(3) 테크노트
▶ 취약점 : 업로드 다운로드 취약점 이용 메인 페이지 삭제 (2004.10.14 이전 버전)

technote/library/Lib-5.cgi 소스를 편집기로 열고 소스 상단 부분의 빈줄 아무데다가 아래 코드 추가
exit if($FORM{'filename'}=~/;|%|\|..|||//);
technote/print.cgi 소스를 편집기로 열고 소스 상단 29~30 번 정도의 라인(버전마다 라인 다름)에 있는
&parse;
위 코드의 바로 아래 라인에다가 아래 코드를 추가
exit if($FORM{'img'}=~/;|%|\|..|||//);

4. 참조 사이트
o 제로보드 최신버전(4.1 pl5) 업그레이드
http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176
o 그누보드 최신버전(3.41) 업그레이드
http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910
o 테크노트 취약점 해결방안 : Lib-5.cgi 및 print.cgi에 소스 수정
http://www.technote.co.kr/cgi-sys/cgiwrap/cgitour/techtop/technote2/read.cgi?board=notice
o KorWeblog 취약점 해결방안 : 설치완료 후 불필요한 설치파일 삭제
http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&atid=300013
o phpBB 최신버전(2.0.11) 업그레이드
http://www.phpbb.com/downloads.php
o PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3) 업그레이드
http://www.php.net/downloads.php
글쓴이제목내용
전체글:1340 방문수:19967084
아사달 소식 게시판 리스트
번호 제목 작성자 등록일 조회
840 아사달 홍보영상 안내아사달2008.02.21. 20:59:1015120
839 아사달 창립 10주년 기념 할인이벤트!디자인몰2008.02.19. 10:44:0414635
838 아사달 10주년 기념 도메인 신규등록 할인 이벤트도메인팀2008.02.01. 10:46:0115030
837 [호스팅]아사프로 웹메일 파일첨부 ActiveX 개선 안내호스팅팀2008.01.30. 11:53:2014479
836 [호스팅]아사프로 웹메일 기능 개선 안내호스팅2008.01.17. 09:27:5113883
835 [이대아]리눅스 호스팅 서버 업그레이드 작업 공지관리자2008.01.08. 22:55:4311362
834 [디자인몰] 산돌 폰트 입점 기념 할인 이벤트디자인몰2008.01.07. 20:40:4116470
833 [이대아]공개 웹 게시판 제로보드4 원격코드실행 취약점 패치 권고관리자2008.01.03. 14:29:4911902
832 [도메인파파]닷레지스트라 도메인 만료정책 변경에 따른 연장유지 정책 변경 안내도메인팀2008.01.02. 22:54:3912321
831 (주)아사달 회원약관 개정 공지아사달2008.01.02. 12:28:5117095
830 [도메인] KR도메인 동적업데이트 서비스 적용 공지도메인팀2007.12.27. 19:56:0815320
829 [이대아]KR도메인 동적업데이트 서비스 적용 공지관리자2007.12.27. 20:59:1010727
828 아사달, 솔루션 유통 사이트 웹프로그램(www.webprogram.co.kr) 인수아사달2007.12.20. 13:57:2016516
827 (주)아사달 우수회원정책변경 안내 공지아사달2007.12.20. 15:44:2417215
826 [호스팅] 기능 개선된 아사프로 사진관리 프로그램을 배포합니다.호스팅2007.12.12. 21:15:2315865
825 개인정보취급방침 변경 안내아사달2007.12.10. 22:40:1915437
824 [디자인몰] 디자인몰 서비스 이용약관 개정 공지아사달2007.11.30. 10:15:0916336
823 [호스팅] 호스팅 관리 시스템 개편호스팅2007.11.29. 22:39:1214891
822 아사달, 서체 전문 업체 산돌커뮤니케이션과 전략적 제휴아사달2007.11.20. 09:57:2217435
821 [호스팅]2007년 11월 Microsoft 보안 공지이돈선2007.11.15. 20:05:0814087
820 [디자인몰] 디자인몰 콘텐츠 30만개 돌파아사달2007.11.14. 08:46:2416136
819 [도메인] 도메인 연장안내 자동접속 서비스 적용 안내도메인팀2007.11.02. 19:47:3016262
818 [호스팅]공개 웹 게시판 제로보드4 원격코드실행 취약점 패치 권고이돈선2007.11.01. 20:00:3415322
817 [이대아]무료 바이러스 검사 서비스 종료 안내관리자2007.11.01. 00:09:4011265
816 [도메인] 도메인 서비스 이용약관 개정 안내도메인팀2007.10.31. 22:24:0415222
815 [이대아]도메인 서비스 이용약관 개정 및 연장안내 페이지 적용 안내관리자2007.10.31. 22:54:1110792
814 [이대아]211.48.20.68 긴급 서버 점검 작업관리자2007.10.24. 09:17:1310959
813 [이대아]2007년 3/4분기 세금계산서 신청 마감 안내관리자2007.10.19. 09:26:3811617
812 한국디자인콘텐츠제작자협회 설립아사달2007.10.10. 17:47:1318113
811 아사달닷컴 사이트 장애 정상화 안내아사달2007.10.09. 12:05:2510909
810 아사달, MBC PD수첩 출연아사달2007.10.04. 13:46:3616713
809 아사달, KBS 스페셜 TV 프로에 출연아사달2007.09.28. 04:31:1316933
808 [디자인몰]추석연휴 입금확인, 전화상담 및 배송안내아사달2007.09.20. 14:17:4915650
807 [이대아]서버호스팅 및 코로케이션 서비스 이용 약관 신설관리자2007.09.13. 10:08:1010932
806 [코비스]서버호스팅 및 코로케이션 서비스 이용 약관 신설코비스넷2007.09.12. 11:24:1014122
805 [호스팅] 서버호스팅 및 코로케이션 서비스 이용 약관 신설호스팅2007.09.12. 10:49:0614346
804 [이대아]도메인 만료 후 연장 시 절차 변경 안내관리자2007.09.10. 15:16:4410733
803 [호스팅]ISC BIND8 지원중단에 따른 BIND9으로의 업그레이드 권고이돈선2007.09.04. 20:09:2514921
802 [이대아]2007년 9월 서버 정기 점검관리자2007.09.04. 20:45:3511255
801 [이대아]네트웍 장애 공지관리자2007.08.18. 09:56:2611018
800 아사달, (주)기브유넷의 호스팅 사업 인수호스팅2007.08.13. 10:10:0617050
799 [이대아]도메인 서비스 개편 안내관리자2007.08.10. 09:29:5411531
798 [호스팅]LG데이콤 IDC 장애에 따른 서비스 장애 안내호스팅팀2007.08.07. 22:06:4814615
797 [이대아]2007년 7월 서버 정기 점검 관리자2007.08.07. 09:33:4410921
796 [디자인몰]포인트 충전 빅 이벤트!![디자인몰]2007.08.07. 16:43:0518164
795 아사달, 서울지역혁신협의회의장상 수상아사달2007.08.06. 09:42:4116017
794 아사달, (주)이대아커뮤니케이션의 호스팅 사업 인수호스팅2007.07.24. 11:23:4516458
793 (주)아사달 자본금 증자 및 임원 선임(주)아사달2007.07.24. 16:33:4020741
792 [디자인몰]디자인몰 1일 판매 200건 돌파 !![디자인몰]2007.07.24. 08:32:2017711
791 [이대아](주)아사달이 이대아 고객님을 새로 모십니다.관리자2007.07.24. 00:12:0211638
790 6월 8일-27일 사이에 카드 결제한 고객님에 대한 공지아사달2007.06.27. 15:12:2512355
789 [디자인몰](주)아사달이 국내 최대 IT 전시회인 SEK 2007에 참가합니다.(주)아사달2007.06.19. 15:31:1318395
788 [가가도메인]도메인 서비스 이용료 인하 안내가가도메인2007.06.08. 09:19:1913357
787 [호스팅]안전하고 편리한 보안서버(SSL) 호스팅 오픈!!호스팅팀2007.06.05. 09:41:2613482
786 [솔루션] 파일업로드 및 배송조회 모듈을 탑재한 아사몰을 배포합니다.아사달2007.05.31. 14:55:3017430
785 [도메인] 도메인 이용약관 변경안내도메인팀2007.05.30. 20:17:5215958
784 [디자인몰] 폰트 분류 서비스 오픈!!(주)아사달2007.05.30. 14:04:5718288
783 (주)아사달, (주)디자인정글의 디소(diso.co.kr) 디자인콘텐츠 유통 부분 인수!!(주)아사달2007.05.29. 19:00:1218328
782 아사달, 중소기업 기술혁신개발사업 지원업체로 선정아사달2007.05.21. 20:07:3316104
781 [호스팅]2007년 5월 17일(목) Cisco IOS upgrade 작업 및 패치작업 공지아사달2007.05.16. 22:06:4913328
780 디자인몰 신규 CP 30여개 브랜드 입점!!(주)아사달2007.05.15. 17:00:1619088
779 [코비스]서버 랙 이전 작업 공지 안내코비스넷2007.05.09. 16:31:1815754
778 [고객지원] 5월 3일 ~ 4일 아사달 직원 워크숍에 따른 고객지원 안내아사달2007.05.03. 15:45:0815583
777 [디자인몰] 단독사진 15만 컷 제공아사달2007.05.02. 09:13:1018283
776 (주)아사달, (주)오픈랩의 PSDSHOP 디자인콘텐츠 유통 서비스 부분 인수디자인몰2007.05.01. 21:25:2016801
775 아사달, (주)바다넷의 호스팅 및 도메인 서비스 부분 인수아사달2007.05.01. 12:10:1615119
상세목록 이미지목록 글쓰기
[1] [2] [3] [4] [5] 6 [7] [8] [9] [10] [11] [12] [13] [14]