PHP fileupload 다중 취약점

출처 : certcc메일링..

php에서 보안버그가 발견되어서 free4u서버도 업그레이드를 했습니다.. 이번엔 약 10분이 조금 안걸린거 같군요..
php와 apache(정적컴파일했음)도 새로 설치했습니다. 

======================
KA-2002-023 :Multiple Vulnerabilities in PHP fileupload
----------------------

최초작성일 : 2002/02/27
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구

-- 제목 --------------
PHP fileupload 다중 취약점

-- 해당 시스템 -------
PHP를 실행하는 웹서버 전체

-- 설명---------------
PHP 스크립트 언어에 다중 취약점이 존재한다. 이 취약점으로 인해 원격 공격자는 PHP 프로세스의 권한을 획득하여 임의의
명령어를 실행시킬 수 있다.
PHP는 웹 개발에 널리 쓰이는 스크립트 언어이다. PHP는 웹서버에 탑재되어 실행되며, 웹서버로는 Apache, IIS, Caudium,
Netscape and iPlanet, OmniHTTPd 등 여러 웹서버가 존재한다. php_mime_split 함수의 취약점은 웹서버를 원격으로 조정
가능하도록 한다.

--영향-----------------
침입자는 웹서버 권한으로 임의의 명령어를 실행할 수 있을 뿐만 아니라 웹서버의 정상 작동을 방해 할 수 있다.

-- 해결책---------------
첫째
업그레이드 또는 패치를 하라.
PHP version 4.1.2 업그레이드 주소는 같다.
http://www.php.net/do_download.php?download_file=php-4.1.2.tar.gz
http://www.php.net/downloads.php:

PHP4.10/4.11 패치 주소
http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.1.x.gz

PHP 4.06 패치 주소
http://www.php.net/do_download.php?download_file=rfc1867.c.diff-4.0.6.gz

PHP 3.0 패치 주소
http://www.php.net/do_download.php?download_file=mime.c.diff-3.0.gz

둘째
fileupload를 Disable로 하라.

file_uploads = off

------- 참조 사이트 --------------------------
http://security.e-matters.de/advisories/012002.html
http://www.kb.cert.org/vuls/id/297363
http://security.e-matters.de/advisories/012002.html
http://www.iss.net/security_center/static/8281.php
--------------------------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
==============================================================