ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 제로보드 pl9 및 9.22자 취약성 패치
      컴퓨터 2009. 10. 18. 19:40
      반응형
      제로 보드 국내에서 가장 즐겨 사용되고 있는 보드...
      그러나 그 덕에 단일 프로그램 중 가장 취약성이 보고 되고 있고
      아직도 수많은 동호회에서 사용되고 있는 관계로 끊임없이 공격의 대상이다

      더욱 더 큰일은 이제 더이상 배포도 되고 있지 않고 지원도 되지 않는다는 점이다

      그러나 아직 사용하고 있는 사이트들은 당장 큰일이다 쉽게 바꾸지도
      그냥 놔두자니 계속 공격을 당한다는 것...

      그래서 일단 최종 버젼인 pl9 버전과
      9.22자 취약성에 따른 수정본은 함께 올린다.

      순전히 지금 사용자가 취약성을 제거 하기 위한 목적으로...
      zb4pl9.zip
      zb4pl9.utf8.zip
      patch.2009.02.22.zip

      제로보드 4.1pl9 신규 취약점 및 배포⋅서비스 중지에 따른 주의

      □ 개요
         o 가장 최근에 공개된 제로보드 4.1pl9에 대한 취약점이 발견됨
         o 제로보드 4.1pl9가 특별하게 조작된 파라미터를 처리하는 과정에서 
           내부 파일이 웹페이지에 노출되거나 임의의 명령을 수행하는 취약점
           ※ 임의의 명령 실행은 PHP버전 5.2 이상에서만 가능하며 파일 노출 
              취약점은 PHP 모든 버전에서 가능함
         o 또한 제로보드4의 공식적인 배포가 09년 9월 25일자로 중지되어 향후 
           신규 취약점에 대한 공식적인 보안 패치가 제공되지 않을 예정[1, 2]
         o 이에 따라 국내 이용자가 많은 제로보드 4.1pl9 및 제로보드4 사용에 
           주의를 요함

      □ 영향을 받는 시스템
         o 제로보드 4.1pl9 버전

      □ 조치 방법
         o "_head.php, skin/zero_vote/ask_password.php, skin/zero_vote/error.php,
            skin/zero_vote/login.php, skin/zero_vote/setup.php" 파일을 다음과 같이 수정 [5]

      패치전

      if (eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";

      _head.php

      if (eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";

      zero_vote/파일들

      패치후

      if (eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||
      eregi("^/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

      _head.php

      if (eregi(":\/\/",$dir)||eregi("\.\.",$dir)||
      eregi("^/",$dir)||eregi("data:;",$dir)) $dir ="./";

      zero_vote/파일들


      □ 이용자 주의사항
         o 09년 9월 25일부터 제로보드4는 구조적인 한계로 인한 보안 취약점 문제로 
           공식적인 배포를 중지할 예정임[1, 2]
         o 제로보드4의 공식적인 배포는 중지되었으나 신규취약점의 피해를 막고 정보를 
           공유하기 위해 공식 커뮤니티는 계속 운영될 예정
         o 따라서 이용자들은 제로보드4의 공식 커뮤니티[3] 사이트의 보안 정보 공유 
           게시판[4]을 주기적으로 확인하여 신규 취약점에 대한 정보를 숙지하고 
           이에 따른 조치를 취해야함
         o 혹은, 지속적인 보안패치 제공 서비스가 가능한 홈페이지 게시판으로 
           업그레이드를 권고

      □ 용어 정리
         o 제로보드(ZeroBoard): PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 
           또는 프레임워크
         o PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어

      □ 기타 문의사항
         o 제로보드4는 더 이상 사용할 수 없는 건가요?
           - 아닙니다. 사용하실 수 있습니다. 그러나 제작사에서 더 이상 공식적인 
             보안 패치를 제공하지 않기 때문에 신규 취약점으로 인한 피해를 입으실 
             수 있으므로 이용자 주의사항을 숙지하시길 바랍니다.
         o 제로보드4의 공식 커뮤니티는 계속 운영되나요?
           - 네 운영됩니다. 제로보드4 공식 커뮤니티 사이트[3]는 제로보드4의 취약점 
             정보 및 기타 정보 공유를 목적으로 계속 운영이 됩니다.
         o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

      반응형

      '컴퓨터' 카테고리의 다른 글

      Autoit 3.3 SciTE 한글쓰기  (2) 2009.10.26
      해킹 겸 보안도구  (0) 2009.10.21
      Ubuntu 9.10  (0) 2009.10.18
      내가 제일 좋아하는 웹브라우저  (0) 2009.10.12
      새로 살 컴퓨터 견적  (0) 2009.10.07

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바