관련링크 : http://www.milw0rm.com/exploits/7792
요즘(?) zeroboard4 대용 혹은 기타 용도로 많이 사용되는 GNUBoard의 local/remote file include취약점이 알려졌습니다.
해당 버전 : 4.31.03 (08.12.29) 이하 버전
수정 내용 : 4.31.04 (09.01.17)
PHP의 설정중 register_globals=on 로 사용하는 경우에 $g4_path 변수를 이용한 그누보드 취약점을 수정 하였습니다.
register_globals=off 로 사용하는 경우에는 문제되지 않습니다.
GENESYS 님께서 알려 주셨습니다.
// common.php 의 94라인부터 아래 코드만 추가해 주시면 됩니다. common.php 를 참고하십시오.
요즘(?) zeroboard4 대용 혹은 기타 용도로 많이 사용되는 GNUBoard의 local/remote file include취약점이 알려졌습니다.
해당 버전 : 4.31.03 (08.12.29) 이하 버전
PHP 5.2 이상이고 allow_url_include = On 일때 발생한다고 합니다.취약점 수정 : http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=4215
수정 내용 : 4.31.04 (09.01.17)
PHP의 설정중 register_globals=on 로 사용하는 경우에 $g4_path 변수를 이용한 그누보드 취약점을 수정 하였습니다.
register_globals=off 로 사용하는 경우에는 문제되지 않습니다.
GENESYS 님께서 알려 주셨습니다.
// common.php 의 94라인부터 아래 코드만 추가해 주시면 됩니다. common.php 를 참고하십시오.
if ($_GET['g4_path'] || $_POST['g4_path']) {
unset($_GET['g4_path']);
unset($_POST['g4_path']);
unset($g4_path);
}
unset($_GET['g4_path']);
unset($_POST['g4_path']);
unset($g4_path);
}
'Security' 카테고리의 다른 글
| ZeroBoard4 pl8 (07.12.17) Multiple Remote/Local Vulnerability (0) | 2009.02.12 |
|---|---|
| ZeroBoardXE 1.1.5 (09.01.22) XSS Vulnerability (1) | 2009.02.11 |
| fail2ban proftpd filter (0) | 2008.12.13 |
| zeroboardXE CSRF (Cross-site request forgery) 보안 취약점 (0) | 2008.09.02 |
| 최근 웹사이트 공격 유형 #2 (3) | 2008.07.29 |