2009. 02. 16 CSRF 대응 패치
페이지 정보
본문
(주)에이쓰리시큐리티( http://a3security.com ) 에서 제로보드4의 사용자 입력 변수 검증을 하지 않아 발생하는 보안 취약점을 알려주셨습니다.
이 보안 취약점은 CSRF라고 하는 관리자 권한을 우회하여 실행하게 하여 권한을 획득할 수 있는 매우 치명적인 것이니 꼭 패치하시기 바랍니다.
아래 zb4pl9도 패치를 하셔야 합니다.
[패치 방법]
include/list_check.php 파일의 116, 117 번째 아래 코드를 다음과 같이 바꾸시거나 첨부한 파일 list_check.php 을 덮어쓰시면 됩니다.
기존소스
$file_name1=$data[s_file_name1];
$file_name2=$data[s_file_name2];
변경후
$file_name1=del_html($data[s_file_name1]);
$file_name2=del_html($data[s_file_name2]);
제로보드4는 그 구조와 수 많은 코드 수정 팁/ 플러그인등으로 인하여 근본적인 보안 패치가 매우 어렵습니다.
가능하면 XE로 업그레이드 하는 것을 권해드립니다.
혹은 최근에 강력히 활용되는 CSRF 보안 취약점 공격을 방지하기 위해서 관리자 아이디는 관리자 설정만 하고 사이트 내 글을 보거나 활동을 할 때에는 관리 권한이 없는 아이디를 만들어서 활동하는 것이 보안 취약점 공격을 미연에 방지할 수 있는 하나의 방법일 수도 있습니다.
보안 취약점을 알려주신 A3 Security의 indra님께 감사의 말씀을 드립니다.
관련링크
- http://www.zeroboard.com/17757124#8 CLICKS : 28
- http://www.zeroboard.com/17757124#8 CLICKS : 26
- 이전글fla파일 수정하여 폰트 변경하기 09.06.03
- 다음글제로보드4에 스마트에디터 삽입하기 09.02.12
댓글목록
등록된 댓글이 없습니다.