홈>컴퓨터이야기
logo_01.gif


TOTAL ARTICLE : 91, TOTAL PAGE : 1 / 5
구분 웹일반 | 태그-소스 | 제로보드 | 그누보드 |
제로보드 : 제로보드 2009.9.22 보안 취약점 패치
 오예    | 2009·09·29 13:19 | HIT : 4,834 | VOTE : 291
취약점 안내
일자 : 2009. 09. 22
내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
대상 : 제로보드4 모든 버전
비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점
취약점 보완
패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
직접 수정

대상 파일

_head.php
skin/zero_vote/ask_password.php
skin/zero_vote/error.php
skin/zero_vote/login.php
skin/zero_vote/setup.php
수정 내용
_head.php
[수정전]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";
[수정후]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
skin/zero_vote/ 파일들
[수정전]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
[수정후]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";


이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.


늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.




수정후 메인페이지가 백지로 뜰경우
$_zb_path ="./";  를 자기의 절대 경로로 바꿔 주면 됨
샬롬~
난! 자유인...
  
91 제로보드   미니위니 에디터 FAQ  오예 07·10·31 5560 124
90 그누보드   회원 권한 1 밖에 안나올때  오예 08·03·12 5529 101
89 제로보드   여러게시판 최근게시물 통합하여 뽑기 2차 수개 버젼입니다.  오예 04·05·28 5156 389
제로보드   제로보드 2009.9.22 보안 취약점 패치  오예 09·09·29 4834 291
87 제로보드   [제로보드]제로보드 최신버전에서 플래시 메뉴 사용할때 새로고침 안되는 문제  오예 04·08·30 4025 299
86 제로보드   제로보드 스팸방지기능(ZM_Crypt 2.0)  오예 09·02·06 3888 191
85 제로보드   제로보드 서버 이전 방법  오예 08·09·19 3763 230
84 제로보드   DQ Revolution 1.8.p9 최근갤러리에 썸네일 불러오기  오예 09·03·20 3699 149
83 제로보드   갤러리에 한글이름 적용하기  오예 09·06·29 3634 217
82 제로보드   제로보드 스팸 차단하기  오예 07·05·03 3584 68
81 태그-소스   원하는 시간부터 재생하는 동영상 태그  오예 10·02·03 3500 179
80 제로보드   GD를 이용하여 썸네일을 제로보드 갤러리에 적용시키기 2  오예 04·05·20 3478 254
79 그누보드   비회원일때 글쓰기 버튼 나오게 하는 방법  오예 08·03·12 3476 147
78 태그-소스   이미지맵 링크 점선 없애기  오예 08·07·11 3469 229
77 제로보드   최근 게시물보기 속도 빠르게 만들기  오예 05·06·02 3370 119
76 태그-소스   [태그]embed 태그의 못든 것  오예 04·10·20 3228 201
75 그누보드   로그아웃 후 메인으로 이동하기  오예 10·03·02 3197 184
74 태그-소스   해상도에 따라 변하는 레이어위치 고정하기  오예 06·12·18 3166 55
73 웹일반   FTP로 지워지지 않는 파일 삭제방법  오예 09·09·15 3145 192
72 태그-소스   창크기 고정 소스  오예 09·07·14 3129 196
12345
Copyright 1999-2020 Zeroboard / skin by GGAMBO