2010년 12월 22일 RFI 취약점 보안 패치
페이지 정보
본문
제로보드4 pl9 버전에서 RFI (원격파일 인클루드) 취약점이 발견되었습니다.
장경칩님께서 제보해주신 내용입니다.
_head.php 파일과 skin/zero_vote/*.php 파일에 대해 아래 내용으로 코드 수정을 통한 패치를 권드립니다.
_head.php
[수정전]
_head.php
[수정후]
_head.php: 문자가 $_zb_path에 포함되지 않도록 수정
skin/zero_vote/ 디렉토리의 아래에 해당되는 .php 파일
- ask_password.php
- error.php
- login.php
[수정전]
./skin/zero_vote/*.php
[수정후]
./skin/zero_vote/*.php
별도의 파일은 첨부하지 않고 위 내용으로의 수정을 권고 드립니다.
제로보드4는 매우 오래전에 개발된 코드이며 이로 인해 최근 인터넷 환경에 적합하지 않습니다.
당시에는 보안 취약점이 아닌 것들도 PHP의 버전 업그레이드나 환경의 변화로 새로운 취약점으로 생겨날 가능성도 높습니다.
가능하면 XpressEngine 으로의 업그레이드를 권유드립니다.
관련링크
- http://www.xpressengine.com/19346851 CLICKS : 48
- http://www.xpressengine.com/19346851 CLICKS : 44
- 이전글배열처리 14.02.03
- 다음글보낸쪽지함에서 상대방이 읽지 않은 쪽지 발송 취소 10.01.12
댓글목록
등록된 댓글이 없습니다.