|  최근게시물(종합)  |  이메일주소무단수집거부  |  G-Search    

 

Today :: 2020.7.12
Name P C W L/U
유닉스 0 0 0 08/20
리눅스 0 0 0 02/05
Windows 0 0 0 08/03
네트워크 0 0 0 05/21
메뉴얼팁 0 0 0 03/30
프로그램 0 0 0 12/23
좋은글 0 0 0 11/17
와글와글 0 0 0 07/21
그림판 0 0 0 06/27
포토앨범 0 0 0 07/04
배경화면 0 0 0 08/25
등업신청 0 0 0 10/25
방명록 0 0 0 02/15


 복남이네 전체 게시판 검색

 날짜별 등록된 글 알림
01 02 03 04
05 06 07 08 09 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
 태그 클라우드
Ethereal Mac OS X 10.8 Mountain Lion ISCanner 아이폰 공룡의 땅 ubunto windll.exe SQL 인젝션 투명 GIF 제작 AcroEdit Edit Plus 3.70 build 944 (2014-09-27) 그리드 딜리버리 제거 프로그램 그리드 스위치 v1.3.2.0 VMware Tools 내일이 찾아오면 ECS HT2000 Geforce 7050M - M V2.0 ubuntu 9.04 V3Lite 레뷰걸 iOS4 HP-UX Quick Reference Guide 한영전환 걷기운동 디까 108배 Comodo Time Machine 구글 Analytics 벨소리 InfraRecorder 0.51 여성부

 Powered by 다이렉트 호스팅

  제로보드4 2009. 09. 22 보안 취약점 패치  (2010-07-29 13:53:27, Hit : 4766)
  
 최상일  [기여도 146 63.6%]
     http://www.smilezone.info
   patch.2009.02.22.zip (8.4 KB), Download : 52
   zb4.20090922.patch (2.3 KB), Download : 88
  http://www.xpressengine.com/zb4_security/18319857
  제로보드4,취약점 패치
    
이번에 당하고 나서 취약점 패치 안된 부분을 찾다가, 늦게 발견했네요.
일단 지금 취약점 패치 안된 부분은 다 찾아서 수를 내야 할듯 하네요.
제로보드 게시판에 올라온 글을 담아옵니다.
본문 내용중 첨부파일은 함께 첨부해서 올립니다.

원문출처는 제로보드 사이트입니다.
[수정 #1] outlogin.php 파일은 패치 대상이 아니어서 제거되었고 skin/zero_vote/setup.php 파일이 추가되었습니다.

취약점 안내
일자 : 2009. 09. 22
내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
대상 : 제로보드4 모든 버전
비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점
취약점 보완
패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
직접 수정

대상 파일

_head.php
skin/zero_vote/ask_password.php
skin/zero_vote/error.php
skin/zero_vote/login.php
skin/zero_vote/setup.php
수정 내용
_head.php
[수정전]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";
[수정후]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
skin/zero_vote/ 파일들
[수정전]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
[수정후]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";


이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.


늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.

패치후 시작페이가 아무것도 없는 빈페이지로 나오는 분들은
http://danbisw.tistory.com/6769
의 사이트에서 보시면 해결방법이 나와 있습니다.
사이트 내용중
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^

라는 부분이 핵심입니다.
이 글을 옮겨오는 이유는 혹시 나중에 저 사이트가 혹시라도.. 없어지면 내용을 알수 없기에.. ^^;; 만일의 사태(?)를 대비해서 복사해 옵니다.
만약 문제가 있다면 댓글을 달아주시면 삭제하겠습니다.


[PRINT Text]  [PRINT HTML]

list 


 전체  윈도우 (55)  리눅스 (32)  팁/테크 (79)  질문 (6)  답변 (1)  북마크 (15)  제로보드 (9) 
   
197
 [팁/테크] 잉크젯프린터 노즐 막혔을 때.   

최상일
2015/03/30 3694
196
 [팁/테크] HP 노트북 PC AC 전원 코드 안전 회수 및 교체 프로그램   

최상일
2015/02/23 2932
195
 [북마크] 생활코딩   

최상일
2014/11/03 3428
194
 [팁/테크] 삼성 SSD 840 시리즈 윈도우에 최적화   

최상일
2014/09/14 3430
193
 [팁/테크] VMware에서 VMEM 파일 생성 방지   

최상일
2014/09/03 3166
192
 [팁/테크] 엑셀 특정 색상의 셀 Count   

최상일
2014/07/26 4868
191
 [팁/테크] MS Outlook 2010 설정 저장 위치   

최상일
2013/11/11 2819
190
 [팁/테크] 구글크롬에서 펌방지 해제   

최상일
2013/05/21 3967
189
 [팁/테크] 크롬의 호환성   

최상일
2013/02/20 3106
188
 [북마크] 구글 크롬 (Google Chrome) - 작은 OS 를 꿈꾸다.   

최상일
2012/12/31 2697
187
비밀글입니다 [팁/테크] SLM   

최상일
2012/11/19 4
186
 [팁/테크] 네이트온 불필요한 프로그램 설치 막자!   

최상일
2012/10/10 3369
185
 [팁/테크] 경험을 통해 본, 책 쓰는 방법   

최상일
2012/09/25 3201
184
 [윈도우] 애니팡 하트 수신 메시지 끄기   

최상일
2012/09/13 3407
183
 [제로보드] 스마트폰 웹사이트 로딩시 한글 깨질때   

최상일
2012/08/12 2817
182
 [팁/테크] 웹사이트 관리 도구   

최상일
2012/08/06 3050
181
 [제로보드] RFI 취약점 보안 패치   

최상일
2012/07/18 5703
180
 [팁/테크] YouTube 동영상 기다리는 시간 줄이기   

최상일
2012/06/26 3969
179
 [윈도우] 한영키 전환이 안될 때.   

최상일
2011/12/12 5381
178
비밀글입니다 [윈도우] 폴더 보안 관련   

최상일
2011/12/12 5
177
 [팁/테크] MSE 검색항목 보기.   

최상일
2011/03/22 4631
176
 [팁/테크] IE9 사용팁   

최상일
2011/03/15 4547
175
 [팁/테크] iOS 4.3 소프트웨어 업데이트 내역.   

최상일
2011/03/10 5516
174
 [팁/테크] 악성 봇 감염 확인   

최상일
2011/03/07 4399
173
 [팁/테크] 클립보드 액세스 허용 팝업 해제.   

최상일
2011/02/22 5059
172
 [팁/테크] IE9 다운로드 폴더 지정하기.   

최상일
2011/02/22 4583
171
 [팁/테크] 토스카 혼 장착하기   

최상일
2011/02/14 5274
170
 [팁/테크] 컴맹을 위한 컴퓨터 관리 방법 Part 1   

최상일
2011/02/11 4325
169
 [제로보드] ro521의 test.htm 코드 삭제.   

최상일
2011/02/08 4496
168
 [팁/테크] 오피스2007에서 PDF,XPS 저장   

최상일
2010/11/19 5069
167
 [팁/테크] 인쇄시 취소가 안될때 해결책.   

최상일
2010/08/11 5599
166
 [제로보드] SQL 인젝션 대응 패치  [2] 

최상일
2010/08/08 3981
165
 [제로보드] SQL 인젝션 대응법 II   

최상일
2010/07/30 4067
164
 [제로보드] SQL 인젝션 대응법  [1] 

최상일
2010/07/29 5742

 [제로보드] 제로보드4 2009. 09. 22 보안 취약점 패치   

최상일
2010/07/29 4766
162
 [윈도우] 익스플로러 실행시 시작페이지 등록한 사이트가 뜨는데 한참 걸리는 문제.   

최상일
2010/07/28 4463
161
 [팁/테크] 아이폰 멀티테스킹 목록 정리해야 하는 이유.   

최상일
2010/07/28 5475
160
 [팁/테크] 무료 순간 복구 프로그램 - Comodo Time Machine :: snoopybox   

최상일
2010/07/15 5022
159
 [팁/테크] 아이폰 네트워크 이상현상 해결.   

최상일
2010/07/07 5779
158
 [팁/테크] 아이폰 이모티콘 추가하기  [3] 

최상일
2010/06/30 5578
157
 [팁/테크] 아이폰 iOS4 멀티태스킹에 대한 오해와 진실   

최상일
2010/06/24 6017
156
 [팁/테크] 아이폰에 동영상 변환해서 넣기   

최상일
2010/05/27 4842
155
 [팁/테크] USB 랜카드 이용하여 무선 AP모드 설정  [2] 

최상일
2010/04/09 7865
154
 [팁/테크] 곰플레이어 광고창 안보이게   

최상일
2010/01/12 5020
153
 [팁/테크] flac파일을 mp3파일로 변환하는 방법   

최상일
2010/01/09 7476
152
 [팁/테크] windll.exe & 바탕화면 무한 리프레쉬 현상   

최상일
2009/11/25 6546
151
 [팁/테크] 오피스 2003에서 2007 파일 읽기.  [1] 

최정용
2009/04/21 5234
150
 [팁/테크] Microsoft Office 2007 시디키 미리 입력시키기   

최상일
2009/03/26 6575
149
 [북마크] 한눈에 보는 우리나라 100대 통계지표   

최상일
2009/03/26 4472
148
 [팁/테크] 10 Minute Mail (10분메일)  [2] 

최상일
2008/11/14 5243
list  1 [2][3][4] [next]

Copyright 1999-2020 Zeroboard