|  최근게시물(종합)  |  이메일주소무단수집거부  |  G-Search    

 

Today :: 2018.12.11
Name P C W L/U
유닉스 0 0 0 08/20
리눅스 0 0 0 02/05
Windows 0 0 0 08/03
네트워크 0 0 0 05/21
메뉴얼팁 0 0 0 04/30
프로그램 0 0 0 12/10
좋은글 0 0 0 11/17
와글와글 0 0 0 07/21
그림판 0 0 0 06/27
포토앨범 0 0 0 07/04
배경화면 0 0 0 08/25
등업신청 0 0 0 10/25
방명록 0 0 0 02/15


 복남이네 전체 게시판 검색

 날짜별 등록된 글 알림
01
02 03 04 05 06 07 08
09 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
 태그 클라우드
ubuntu 9.04 IMM32.DLL IE Toy 2.0 Preview LET IT GO Total Commander 8.0 beta 5 그런 사람 또 없습니다 ubuntu Aiglx ubunto Total Commander 8.0 beta 4 Windows Server 2003 KB 아이폰 Ethereal Playstation3 후회 살수차 너에게 묻는다 Admin 암호복구 Wham - Last Christmas 나무 WinRAR 3.62 release 이모티콘 UB40 - kingston town Total Commander 7.50 RC1 VMware Workstation 11 걷기운동 Comodo Time Machine 이승철 Ubuntu 6.10 beryl

 Powered by 다이렉트 호스팅

  제로보드4 2009. 09. 22 보안 취약점 패치  (2010-07-29 13:53:27, Hit : 4407)
  
 최상일  [기여도 146 63.6%]
     http://www.smilezone.info
   patch.2009.02.22.zip (8.4 KB), Download : 47
   zb4.20090922.patch (2.3 KB), Download : 79
  http://www.xpressengine.com/zb4_security/18319857
  제로보드4,취약점 패치
    
이번에 당하고 나서 취약점 패치 안된 부분을 찾다가, 늦게 발견했네요.
일단 지금 취약점 패치 안된 부분은 다 찾아서 수를 내야 할듯 하네요.
제로보드 게시판에 올라온 글을 담아옵니다.
본문 내용중 첨부파일은 함께 첨부해서 올립니다.

원문출처는 제로보드 사이트입니다.
[수정 #1] outlogin.php 파일은 패치 대상이 아니어서 제거되었고 skin/zero_vote/setup.php 파일이 추가되었습니다.

취약점 안내
일자 : 2009. 09. 22
내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
대상 : 제로보드4 모든 버전
비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점
취약점 보완
패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
직접 수정

대상 파일

_head.php
skin/zero_vote/ask_password.php
skin/zero_vote/error.php
skin/zero_vote/login.php
skin/zero_vote/setup.php
수정 내용
_head.php
[수정전]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";
[수정후]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
skin/zero_vote/ 파일들
[수정전]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
[수정후]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";


이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.


늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.

패치후 시작페이가 아무것도 없는 빈페이지로 나오는 분들은
http://danbisw.tistory.com/6769
의 사이트에서 보시면 해결방법이 나와 있습니다.
사이트 내용중
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^

라는 부분이 핵심입니다.
이 글을 옮겨오는 이유는 혹시 나중에 저 사이트가 혹시라도.. 없어지면 내용을 알수 없기에.. ^^;; 만일의 사태(?)를 대비해서 복사해 옵니다.
만약 문제가 있다면 댓글을 달아주시면 삭제하겠습니다.


[PRINT Text]  [PRINT HTML]

list 


 전체  윈도우 (55)  리눅스 (32)  팁/테크 (80)  질문 (6)  답변 (1)  북마크 (15)  제로보드 (9) 
   
198
 [팁/테크] 통째로 외워두면 쏠쏠한 영어 문장 130가지   

최상원
2015/04/30 2771
197
 [팁/테크] 잉크젯프린터 노즐 막혔을 때.   

최상일
2015/03/30 2556
196
 [팁/테크] HP 노트북 PC AC 전원 코드 안전 회수 및 교체 프로그램   

최상일
2015/02/23 2513
195
 [북마크] 생활코딩   

최상일
2014/11/03 2879
194
 [팁/테크] 삼성 SSD 840 시리즈 윈도우에 최적화   

최상일
2014/09/14 3053
193
 [팁/테크] VMware에서 VMEM 파일 생성 방지   

최상일
2014/09/03 2753
192
 [팁/테크] 엑셀 특정 색상의 셀 Count   

최상일
2014/07/26 4082
191
 [팁/테크] MS Outlook 2010 설정 저장 위치   

최상일
2013/11/11 2523
190
 [팁/테크] 구글크롬에서 펌방지 해제   

최상일
2013/05/21 3218
189
 [팁/테크] 크롬의 호환성   

최상일
2013/02/20 2827
188
 [북마크] 구글 크롬 (Google Chrome) - 작은 OS 를 꿈꾸다.   

최상일
2012/12/31 2434
187
비밀글입니다 [팁/테크] SLM   

최상일
2012/11/19 4
186
 [팁/테크] 네이트온 불필요한 프로그램 설치 막자!   

최상일
2012/10/10 3106
185
 [팁/테크] 경험을 통해 본, 책 쓰는 방법   

최상일
2012/09/25 2863
184
 [윈도우] 애니팡 하트 수신 메시지 끄기   

최상일
2012/09/13 3086
183
 [제로보드] 스마트폰 웹사이트 로딩시 한글 깨질때   

최상일
2012/08/12 2557
182
 [팁/테크] 웹사이트 관리 도구   

최상일
2012/08/06 2772
181
 [제로보드] RFI 취약점 보안 패치   

최상일
2012/07/18 4036
180
 [팁/테크] YouTube 동영상 기다리는 시간 줄이기   

최상일
2012/06/26 3643
179
 [윈도우] 한영키 전환이 안될 때.   

최상일
2011/12/12 4463
178
비밀글입니다 [윈도우] 폴더 보안 관련   

최상일
2011/12/12 5
177
 [팁/테크] MSE 검색항목 보기.   

최상일
2011/03/22 4388
176
 [팁/테크] IE9 사용팁   

최상일
2011/03/15 4258
175
 [팁/테크] iOS 4.3 소프트웨어 업데이트 내역.   

최상일
2011/03/10 5168
174
 [팁/테크] 악성 봇 감염 확인   

최상일
2011/03/07 4131
173
 [팁/테크] 클립보드 액세스 허용 팝업 해제.   

최상일
2011/02/22 4397
172
 [팁/테크] IE9 다운로드 폴더 지정하기.   

최상일
2011/02/22 4314
171
 [팁/테크] 토스카 혼 장착하기   

최상일
2011/02/14 4843
170
 [팁/테크] 컴맹을 위한 컴퓨터 관리 방법 Part 1   

최상일
2011/02/11 3959
169
 [제로보드] ro521의 test.htm 코드 삭제.   

최상일
2011/02/08 4245
168
 [팁/테크] 오피스2007에서 PDF,XPS 저장   

최상일
2010/11/19 4671
167
 [팁/테크] 인쇄시 취소가 안될때 해결책.   

최상일
2010/08/11 4544
166
 [제로보드] SQL 인젝션 대응 패치  [2] 

최상일
2010/08/08 3733
165
 [제로보드] SQL 인젝션 대응법 II   

최상일
2010/07/30 3815
164
 [제로보드] SQL 인젝션 대응법  [1] 

최상일
2010/07/29 5056

 [제로보드] 제로보드4 2009. 09. 22 보안 취약점 패치   

최상일
2010/07/29 4407
162
 [윈도우] 익스플로러 실행시 시작페이지 등록한 사이트가 뜨는데 한참 걸리는 문제.   

최상일
2010/07/28 4110
161
 [팁/테크] 아이폰 멀티테스킹 목록 정리해야 하는 이유.   

최상일
2010/07/28 5140
160
 [팁/테크] 무료 순간 복구 프로그램 - Comodo Time Machine :: snoopybox   

최상일
2010/07/15 4660
159
 [팁/테크] 아이폰 네트워크 이상현상 해결.   

최상일
2010/07/07 5316
158
 [팁/테크] 아이폰 이모티콘 추가하기  [3] 

최상일
2010/06/30 5187
157
 [팁/테크] 아이폰 iOS4 멀티태스킹에 대한 오해와 진실   

최상일
2010/06/24 5617
156
 [팁/테크] 아이폰에 동영상 변환해서 넣기   

최상일
2010/05/27 4594
155
 [팁/테크] USB 랜카드 이용하여 무선 AP모드 설정  [2] 

최상일
2010/04/09 7300
154
 [팁/테크] 곰플레이어 광고창 안보이게   

최상일
2010/01/12 4749
153
 [팁/테크] flac파일을 mp3파일로 변환하는 방법   

최상일
2010/01/09 7065
152
 [팁/테크] windll.exe & 바탕화면 무한 리프레쉬 현상   

최상일
2009/11/25 6216
151
 [팁/테크] 오피스 2003에서 2007 파일 읽기.  [1] 

최정용
2009/04/21 4964
150
 [팁/테크] Microsoft Office 2007 시디키 미리 입력시키기   

최상일
2009/03/26 6145
149
 [북마크] 한눈에 보는 우리나라 100대 통계지표   

최상일
2009/03/26 4082
list  1 [2][3][4] [next]

Copyright 1999-2018 Zeroboard