[호스팅] 제로보드 pl8버전보안 패치 작업을 요청 > 공지사항

본문 바로가기
사이트 내 전체검색

공지사항

[호스팅] 제로보드 pl8버전보안 패치 작업을 요청

페이지 정보

댓글 0건 조회 9,019회 작성일 2007-03-25 15:15

본문

안녕하세요.
다이렉트 운영자입니다.

제로보드 사용자분들께 새로이 패치된 제로보드 pl8버전보안 패치 작업을 요청드립니다.
이는 최근 자주 발생하고 있는 SQL Injection과 XSS를 막을 수 있는 새로운 패치이며, 이에 대한 내용은 아래와 같습니다.

-------------------------------------------------------------------
□ 개요
o 국내 PHP 기반 공개 웹 게시판 제로보드의 SQL 인젝션 보안 취약점에 대한 패치가 발표됨
o 낮은 버전 및 패치파일을 적용하지 않은 제로보드 사용으로 인한, 홈페이지 변조 사고가 발생할 수 있음으로 사용자의 주의 및 패치가 권고됨

□ 영향
제로보드의 download.php 파일에서 아래의 취약점이 존재
o 이미지 파일 업로드 하는 부분에서 확장자(gif/jpg)를 무시하고 임의의 스크립트 파일을 올릴 수 있는 버그 존재
o SQL Injection 취약성
o XSS(크로스 사이트 스크립팅) 취약성

□ 해당 시스템
o 제로보드 4.1 pl8 이전 버전

□ 설명
o 이미지 파일 업로드 하는 부분의 취약점을 이용하여 서버 공격 프로그램 또는 해킹 툴의 업로드 가능.
o SQL Injection 취약점을 이용하여 게시판 루트 권한 획득 및 데이터베이스 손실 가능.
o XSS 취약점을 이용하여 원하지 않는 사이트로 불법적 포워딩 또는 관리자의 권한 획득 가능.
o 제로보드에서 공격자의 입력값 검사를 하지 않아 특정 공격 SQL 쿼리문을 실행 시킬 수 있는 취약점이 존재함
- 해당 취약점은 제로보드의 download.php 파일에서 다운로드 수를 나타내기 위해 쿼리를 하는 과정에서 발생함

□ 조치방법
o 제로 보드 사용 게시판의 경우 해당 취약성을 제거 하기 위해 즉시 취약점이 보완된 4.1 pl8 설치 하거나, 취약한파일(download.php) 교체

□ 권고사항
o 제로보드를 처음 사용하는 경우
- 공식사이트(www.nzeo.com)에는 취약점이 보완된 4.1 pl8 설치 파일을 다운로드 받아 설치

o 기존 제로보드를 사용중인 경우
- 아래 참고사이트를 참고하여 취약한파일(download.php)을 수정 사용하거나 다운받아서 교체하여 사용

□ 참고사이트
[1] http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=55


--------------------------------------------------------------------

해당 패치는 제로보드 사용자 분들께만 해당하는 사항이며, 고객님들께서 직접 해주셔야 하는 부분입니다.

이는 모든 사용자분들께서 안전한 서비스 이용을 위하여 꼭 필요한 부분이오니, 확인하신 후 꼭 패치하여 주시기 바랍니다.

이에 대한 문의는 당사 고객지원센터(1588-6776/내선1번)으로 문의하여 주시기 바랍니다.

감사합니다.
  • 트위터로 보내기
  • 페이스북으로 보내기
  • 구글플러스로 보내기

댓글목록

등록된 댓글이 없습니다.


Total 137건 1 페이지
공지사항 목록
번호 제목 조회 날짜
공지 11579 2016.04
공지 18776 2013.02
135 1115 05-28
134 2416 04-25
133 1592 04-13
132 2941 2017.12
131 3156 2017.12
130 5912 2017.05
129 6710 2017.02
128 10136 2016.07
127 10782 2016.02
126 14157 2015.04
125 15584 2015.01
124 16390 2014.11
123 16591 2014.07
122 15963 2014.05
121 15801 2014.04
120 15655 2014.04
119 16275 2013.12
118 15626 2013.11
117 16210 2013.10
116 15722 2013.08
115 15322 2013.07
114 15393 2013.07
113 16109 2013.06
게시물 검색

회원로그인

계좌이체 or 신용카드 결제하기
해피정닷컴으로 대금결제를 할 수 있습니다

접속자집계

오늘
522
어제
2,605
최대
3,174
전체
4,263,587

회사명: 해피정닷컴   사업자번호: 119-05-36414   전화: 070-7600-3500   팩스: 02-865-3528   주소: 08394 서울시 구로구 디지털로 242 한화비즈메트로1차 1502호
대표: 정창용   개인정보보호책임자: 정창용   통신판매업신고번호: 2014-서울구로-0074 [사업자등록정보확인]   건강기능식품영업신고번호 제2018-0080452호
Copyright 2001~2018 해피정닷컴. All Rights Reserved.