[호스팅] 제로보드 pl8버전보안 패치 작업을 요청 > 공지사항

본문 바로가기
사이트 내 전체검색

공지사항

[호스팅] 제로보드 pl8버전보안 패치 작업을 요청

페이지 정보

댓글 0건 조회 9,068회 작성일 2007-03-25 15:15

본문

안녕하세요.
다이렉트 운영자입니다.

제로보드 사용자분들께 새로이 패치된 제로보드 pl8버전보안 패치 작업을 요청드립니다.
이는 최근 자주 발생하고 있는 SQL Injection과 XSS를 막을 수 있는 새로운 패치이며, 이에 대한 내용은 아래와 같습니다.

-------------------------------------------------------------------
□ 개요
o 국내 PHP 기반 공개 웹 게시판 제로보드의 SQL 인젝션 보안 취약점에 대한 패치가 발표됨
o 낮은 버전 및 패치파일을 적용하지 않은 제로보드 사용으로 인한, 홈페이지 변조 사고가 발생할 수 있음으로 사용자의 주의 및 패치가 권고됨

□ 영향
제로보드의 download.php 파일에서 아래의 취약점이 존재
o 이미지 파일 업로드 하는 부분에서 확장자(gif/jpg)를 무시하고 임의의 스크립트 파일을 올릴 수 있는 버그 존재
o SQL Injection 취약성
o XSS(크로스 사이트 스크립팅) 취약성

□ 해당 시스템
o 제로보드 4.1 pl8 이전 버전

□ 설명
o 이미지 파일 업로드 하는 부분의 취약점을 이용하여 서버 공격 프로그램 또는 해킹 툴의 업로드 가능.
o SQL Injection 취약점을 이용하여 게시판 루트 권한 획득 및 데이터베이스 손실 가능.
o XSS 취약점을 이용하여 원하지 않는 사이트로 불법적 포워딩 또는 관리자의 권한 획득 가능.
o 제로보드에서 공격자의 입력값 검사를 하지 않아 특정 공격 SQL 쿼리문을 실행 시킬 수 있는 취약점이 존재함
- 해당 취약점은 제로보드의 download.php 파일에서 다운로드 수를 나타내기 위해 쿼리를 하는 과정에서 발생함

□ 조치방법
o 제로 보드 사용 게시판의 경우 해당 취약성을 제거 하기 위해 즉시 취약점이 보완된 4.1 pl8 설치 하거나, 취약한파일(download.php) 교체

□ 권고사항
o 제로보드를 처음 사용하는 경우
- 공식사이트(www.nzeo.com)에는 취약점이 보완된 4.1 pl8 설치 파일을 다운로드 받아 설치

o 기존 제로보드를 사용중인 경우
- 아래 참고사이트를 참고하여 취약한파일(download.php)을 수정 사용하거나 다운받아서 교체하여 사용

□ 참고사이트
[1] http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=55


--------------------------------------------------------------------

해당 패치는 제로보드 사용자 분들께만 해당하는 사항이며, 고객님들께서 직접 해주셔야 하는 부분입니다.

이는 모든 사용자분들께서 안전한 서비스 이용을 위하여 꼭 필요한 부분이오니, 확인하신 후 꼭 패치하여 주시기 바랍니다.

이에 대한 문의는 당사 고객지원센터(1588-6776/내선1번)으로 문의하여 주시기 바랍니다.

감사합니다.
  • 트위터로 보내기
  • 페이스북으로 보내기
  • 구글플러스로 보내기
  • 카카오톡으로 보내기

댓글목록

등록된 댓글이 없습니다.


Total 137건 4 페이지
공지사항 목록
번호 제목 조회 날짜
62 5640 2008.08
61 5543 2008.07
60 5925 2008.06
59 11780 2008.03
58 6430 2008.02
57 16221 2008.01
56 5934 2007.12
55 5979 2007.12
54 5600 2007.11
53 6303 2007.11
52 5368 2007.11
51 6426 2007.11
50 5917 2007.10
49 6365 2007.05
48 6629 2007.05
47 7174 2007.05
열람중 9069 2007.03
45 8447 2007.03
44 5589 2007.01
43 6299 2006.12
42 6070 2006.12
41 5820 2006.12
40 8717 2006.12
39 6199 2006.12
38 5211 2006.12
게시물 검색

회원로그인

계좌이체 or 신용카드 결제하기
해피정닷컴으로 대금결제를 할 수 있습니다

접속자집계

오늘
1,181
어제
2,591
최대
3,174
전체
4,322,920

회사명: 해피정닷컴   사업자번호: 119-05-36414   전화: 070-7600-3500   팩스: 02-865-3528   주소: 08394 서울시 구로구 디지털로 242 한화비즈메트로1차 1502호
대표: 정창용   개인정보보호책임자: 정창용   통신판매업신고번호: 2014-서울구로-0074 [사업자등록정보확인]   건강기능식품영업신고번호 제2018-0080452호
Copyright 2001~2018 해피정닷컴. All Rights Reserved.