|  최근게시물(종합)  |  이메일주소무단수집거부  |  G-Search    

 

Today :: 2019.4.23
Name P C W L/U
유닉스 0 0 0 08/20
리눅스 0 0 0 02/05
Windows 0 0 0 08/03
네트워크 0 0 0 05/21
메뉴얼팁 0 0 0 04/30
프로그램 0 0 0 12/10
좋은글 0 0 0 11/17
와글와글 0 0 0 07/21
그림판 0 0 0 06/27
포토앨범 0 0 0 07/04
배경화면 0 0 0 08/25
등업신청 0 0 0 10/25
방명록 0 0 0 02/15


 복남이네 전체 게시판 검색

 날짜별 등록된 글 알림
01 02 03 04 05 06
07 08 09 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
 태그 클라우드
Aiglx VMware Tools ubunto 클립보드 액세스 허용 팝업 해제. 미래소년 코난 트위터 Burn Zombie Burn ro521 스포어 소녀시대 - 다시 만난 세계 ubuntu 인쇄 오류 그림판 HDD vs SSD Windows Server 2003 HOWTO WM Recorder 14 Official Mobile Suit GUNDAM 00 The Movie Trailer Total Commander 7.56a for Windows released 너에게 묻는다 Portable Ubuntu for Windows 아이폰 제로보드4 ChromePlus V1.5.1.1 썬갓 V Total Commander 8.0 beta 4 부트메뉴 UB40 - kingston town IE9 다운로드 폴더 지정하기 Speccy v1.26.698 PS3

 Powered by 다이렉트 호스팅

  제로보드4 2009. 09. 22 보안 취약점 패치  (2010-07-29 13:53:27, Hit : 4488)
  
 최상일  [기여도 146 63.6%]
     http://www.smilezone.info
   patch.2009.02.22.zip (8.4 KB), Download : 47
   zb4.20090922.patch (2.3 KB), Download : 83
  http://www.xpressengine.com/zb4_security/18319857
  제로보드4,취약점 패치
    
이번에 당하고 나서 취약점 패치 안된 부분을 찾다가, 늦게 발견했네요.
일단 지금 취약점 패치 안된 부분은 다 찾아서 수를 내야 할듯 하네요.
제로보드 게시판에 올라온 글을 담아옵니다.
본문 내용중 첨부파일은 함께 첨부해서 올립니다.

원문출처는 제로보드 사이트입니다.
[수정 #1] outlogin.php 파일은 패치 대상이 아니어서 제거되었고 skin/zero_vote/setup.php 파일이 추가되었습니다.

취약점 안내
일자 : 2009. 09. 22
내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
대상 : 제로보드4 모든 버전
비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점
취약점 보완
패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
직접 수정

대상 파일

_head.php
skin/zero_vote/ask_password.php
skin/zero_vote/error.php
skin/zero_vote/login.php
skin/zero_vote/setup.php
수정 내용
_head.php
[수정전]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";
[수정후]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
skin/zero_vote/ 파일들
[수정전]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
[수정후]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";


이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.


늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.

패치후 시작페이가 아무것도 없는 빈페이지로 나오는 분들은
http://danbisw.tistory.com/6769
의 사이트에서 보시면 해결방법이 나와 있습니다.
사이트 내용중
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^

라는 부분이 핵심입니다.
이 글을 옮겨오는 이유는 혹시 나중에 저 사이트가 혹시라도.. 없어지면 내용을 알수 없기에.. ^^;; 만일의 사태(?)를 대비해서 복사해 옵니다.
만약 문제가 있다면 댓글을 달아주시면 삭제하겠습니다.


[PRINT Text]  [PRINT HTML]

list 


 전체  윈도우 (55)  리눅스 (32)  팁/테크 (80)  질문 (6)  답변 (1)  북마크 (15)  제로보드 (9) 
   
198
 [팁/테크] 통째로 외워두면 쏠쏠한 영어 문장 130가지   

최상원
2015/04/30 2871
197
 [팁/테크] 잉크젯프린터 노즐 막혔을 때.   

최상일
2015/03/30 2664
196
 [팁/테크] HP 노트북 PC AC 전원 코드 안전 회수 및 교체 프로그램   

최상일
2015/02/23 2643
195
 [북마크] 생활코딩   

최상일
2014/11/03 3012
194
 [팁/테크] 삼성 SSD 840 시리즈 윈도우에 최적화   

최상일
2014/09/14 3153
193
 [팁/테크] VMware에서 VMEM 파일 생성 방지   

최상일
2014/09/03 2865
192
 [팁/테크] 엑셀 특정 색상의 셀 Count   

최상일
2014/07/26 4265
191
 [팁/테크] MS Outlook 2010 설정 저장 위치   

최상일
2013/11/11 2617
190
 [팁/테크] 구글크롬에서 펌방지 해제   

최상일
2013/05/21 3390
189
 [팁/테크] 크롬의 호환성   

최상일
2013/02/20 2932
188
 [북마크] 구글 크롬 (Google Chrome) - 작은 OS 를 꿈꾸다.   

최상일
2012/12/31 2513
187
비밀글입니다 [팁/테크] SLM   

최상일
2012/11/19 4
186
 [팁/테크] 네이트온 불필요한 프로그램 설치 막자!   

최상일
2012/10/10 3176
185
 [팁/테크] 경험을 통해 본, 책 쓰는 방법   

최상일
2012/09/25 2938
184
 [윈도우] 애니팡 하트 수신 메시지 끄기   

최상일
2012/09/13 3183
183
 [제로보드] 스마트폰 웹사이트 로딩시 한글 깨질때   

최상일
2012/08/12 2633
182
 [팁/테크] 웹사이트 관리 도구   

최상일
2012/08/06 2853
181
 [제로보드] RFI 취약점 보안 패치   

최상일
2012/07/18 4214
180
 [팁/테크] YouTube 동영상 기다리는 시간 줄이기   

최상일
2012/06/26 3762
179
 [윈도우] 한영키 전환이 안될 때.   

최상일
2011/12/12 4723
178
비밀글입니다 [윈도우] 폴더 보안 관련   

최상일
2011/12/12 5
177
 [팁/테크] MSE 검색항목 보기.   

최상일
2011/03/22 4458
176
 [팁/테크] IE9 사용팁   

최상일
2011/03/15 4348
175
 [팁/테크] iOS 4.3 소프트웨어 업데이트 내역.   

최상일
2011/03/10 5260
174
 [팁/테크] 악성 봇 감염 확인   

최상일
2011/03/07 4212
173
 [팁/테크] 클립보드 액세스 허용 팝업 해제.   

최상일
2011/02/22 4513
172
 [팁/테크] IE9 다운로드 폴더 지정하기.   

최상일
2011/02/22 4395
171
 [팁/테크] 토스카 혼 장착하기   

최상일
2011/02/14 4937
170
 [팁/테크] 컴맹을 위한 컴퓨터 관리 방법 Part 1   

최상일
2011/02/11 4045
169
 [제로보드] ro521의 test.htm 코드 삭제.   

최상일
2011/02/08 4332
168
 [팁/테크] 오피스2007에서 PDF,XPS 저장   

최상일
2010/11/19 4765
167
 [팁/테크] 인쇄시 취소가 안될때 해결책.   

최상일
2010/08/11 4824
166
 [제로보드] SQL 인젝션 대응 패치  [2] 

최상일
2010/08/08 3795
165
 [제로보드] SQL 인젝션 대응법 II   

최상일
2010/07/30 3872
164
 [제로보드] SQL 인젝션 대응법  [1] 

최상일
2010/07/29 5166

 [제로보드] 제로보드4 2009. 09. 22 보안 취약점 패치   

최상일
2010/07/29 4488
162
 [윈도우] 익스플로러 실행시 시작페이지 등록한 사이트가 뜨는데 한참 걸리는 문제.   

최상일
2010/07/28 4173
161
 [팁/테크] 아이폰 멀티테스킹 목록 정리해야 하는 이유.   

최상일
2010/07/28 5248
160
 [팁/테크] 무료 순간 복구 프로그램 - Comodo Time Machine :: snoopybox   

최상일
2010/07/15 4751
159
 [팁/테크] 아이폰 네트워크 이상현상 해결.   

최상일
2010/07/07 5427
158
 [팁/테크] 아이폰 이모티콘 추가하기  [3] 

최상일
2010/06/30 5313
157
 [팁/테크] 아이폰 iOS4 멀티태스킹에 대한 오해와 진실   

최상일
2010/06/24 5729
156
 [팁/테크] 아이폰에 동영상 변환해서 넣기   

최상일
2010/05/27 4671
155
 [팁/테크] USB 랜카드 이용하여 무선 AP모드 설정  [2] 

최상일
2010/04/09 7490
154
 [팁/테크] 곰플레이어 광고창 안보이게   

최상일
2010/01/12 4845
153
 [팁/테크] flac파일을 mp3파일로 변환하는 방법   

최상일
2010/01/09 7197
152
 [팁/테크] windll.exe & 바탕화면 무한 리프레쉬 현상   

최상일
2009/11/25 6320
151
 [팁/테크] 오피스 2003에서 2007 파일 읽기.  [1] 

최정용
2009/04/21 5054
150
 [팁/테크] Microsoft Office 2007 시디키 미리 입력시키기   

최상일
2009/03/26 6228
149
 [북마크] 한눈에 보는 우리나라 100대 통계지표   

최상일
2009/03/26 4145
list  1 [2][3][4] [next]

Copyright 1999-2019 Zeroboard