자유게시판
http://www.zeroboard.com/15955761요즘 여기저기 사이트에서 말이 많은 문제에 대해
패치가 나왔네요~
---원문----
안녕하세요.
최근 중국발 크래킹이 발생하고 있습니다.
크래킹을 하는 방법에 대해서 찾고 있던중 "갈릴레오"님의 도움으로 취약점 공격하는 것을 찾았습니다.
공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.php 파일에 기록하는 것을 이용하여 $REMOTE_ADDR 변수에 대한 eval script코드를 삽입하여 원하는 command를 실행하는 것으로 파악했습니다.
일단 제로보드4를 기본으로 사용하시는 분은 첨부한 lib.php 파일을 덮어쓰시면 됩니다.
수정하고 계시는 분들은 다음과 같이 해주세요.
lib.php 파일을 에디터 등으로 연다
$REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.
제로보드4의 경우 매우 오래전에 개발을 하였고 업그레이드가 원활치 않아서 다양한 부분에서 보안 취약점이 존재하고 있습니다.
많은 분들이 참여해서 만들어 주신 스킨등을 이용하기 위해서 제로보드4를 업그레이드할 수도 없어 제로보드XE라는 새로운 버전을 개발하게 되었던 것이구요.
최대한 빨리 제로보드XE의 안정성을 확보하고 데이터 이전을 완벽히 되도록 하여 보안 취약점으로 인한 불편을 최대한 줄여드릴 수 있도록 하겠습니다.
참고로 이런 보안 취약점의 경우 저에게 직접 리포팅이 되지 않는 경우가 있습니다.
개인 메일 주소를 자주 바꾸어서 그런 것 같은데 혹시 보안 취약점을 발견하셨을 경우 제 아이디로 쪽지(메일 발송 포함)로 알려주시면 감사하겠습니다.
패치가 나왔네요~
---원문----
안녕하세요.
최근 중국발 크래킹이 발생하고 있습니다.
크래킹을 하는 방법에 대해서 찾고 있던중 "갈릴레오"님의 도움으로 취약점 공격하는 것을 찾았습니다.
공격법은 lib.php에 $REMOTE_ADDR이라는 변수의 값을 data/now_connect.php 파일에 기록하는 것을 이용하여 $REMOTE_ADDR 변수에 대한 eval script코드를 삽입하여 원하는 command를 실행하는 것으로 파악했습니다.
일단 제로보드4를 기본으로 사용하시는 분은 첨부한 lib.php 파일을 덮어쓰시면 됩니다.
수정하고 계시는 분들은 다음과 같이 해주세요.
lib.php 파일을 에디터 등으로 연다
$REMOTE_ADDR 이라는 글자를 모두 $_SERVER['REMOTE_ADDR'] 로 변경
이 때 global $HTTP_SESSION_VARS, $member_table, $REMOTE_ADDR, $member, $connect; 이라는 부분에서는
global $HTTP_SESSION_VARS, $member_table, $member, $connect; 로 변경을 한다.
제로보드4의 경우 매우 오래전에 개발을 하였고 업그레이드가 원활치 않아서 다양한 부분에서 보안 취약점이 존재하고 있습니다.
많은 분들이 참여해서 만들어 주신 스킨등을 이용하기 위해서 제로보드4를 업그레이드할 수도 없어 제로보드XE라는 새로운 버전을 개발하게 되었던 것이구요.
최대한 빨리 제로보드XE의 안정성을 확보하고 데이터 이전을 완벽히 되도록 하여 보안 취약점으로 인한 불편을 최대한 줄여드릴 수 있도록 하겠습니다.
참고로 이런 보안 취약점의 경우 저에게 직접 리포팅이 되지 않는 경우가 있습니다.
개인 메일 주소를 자주 바꾸어서 그런 것 같은데 혹시 보안 취약점을 발견하셨을 경우 제 아이디로 쪽지(메일 발송 포함)로 알려주시면 감사하겠습니다.
작성된지 6개월이 지난 글에는 새 코멘트를 달 수 없습니다.
