피플투피플소셜네트웍스(주) 인터넷의 시작 이로긴 :: 고객만족 웹호스팅, 도메인, 서버호스팅, 이미지링크, 무료쇼핑몰, 웹메일
 
리셀러제휴추천인혜택적립금제도트래픽알림
home회원가입로그인     
소프트웨어 할인 판매24시간365일고객지원
도메인 호스팅 웹메일 무료서비스 홈페이지제작 비즈니스 이로긴강좌 고객센터 나의서비스
Member Login
아이디저장 보안
회원가입아이디ㆍ비밀번호찾기
이로긴 강좌
ns1.elogin.co.kr
110.45.165.11
ns2.elogin.co.kr
110.45.165.12

웹프로그램개발
홈페이지제작,쇼핑몰제작

02-805-0456
세금계산서,현금영수증 신청
신용카드영수증 발행 신청
무통장입금 알리미

Home > 호스팅 메뉴얼

올린이 : elogin [122.xxx.130.xxx] 조회수: 13531 2009-10-08 06:05:33
   제 목 : [보안] 제로보드 4.1pl9 신규취약점 및 배포 중지에 따른 주의사항

★제로보드4 배포 중지★


9월 25일 부터 공식 사이트에서의 제로보드4 배포를 중지합니다.
이는 제로보드4로 새로운 사이트가 제작되는 것을 권장하지 않는 것이며 기존 제로보드4 사이트들은 상관이 없습니다.
하지만 제로보드4 공식 커뮤니티 및 자료 보관은 계속 하도록 할 예정입니다.

(http://www.xpressengine.com/zb4_main)

 

제로보드 4.1pl9 신규 취약점 및 배포⋅서비스 중지에 따른 주의


□ 개요
   o 가장 최근에 공개된 제로보드 4.1pl9에 대한 취약점이 발견됨
   o 제로보드 4.1pl9가 특별하게 조작된 파라미터를 처리하는 과정에서
     내부 파일이 웹페이지에 노출되거나 임의의 명령을 수행하는 취약점
     ※ 임의의 명령 실행은 PHP버전 5.2 이상에서만 가능하며 파일 노출
        취약점은 PHP 모든 버전에서 가능함
   o 또한 제로보드4의 공식적인 배포가 09년 9월 25일자로 중지되어 향후
     신규 취약점에 대한 공식적인 보안 패치가 제공되지 않을 예정[1, 2]
   o 이에 따라 국내 이용자가 많은 제로보드 4.1pl9 및 제로보드4 사용에
     주의를 요함


□ 영향을 받는 시스템
   o 제로보드 4.1pl9 버전


□ 조치 방법
   o "_head.php, skin/zero_vote/ask_password.php, skin/zero_vote/error.php,
      skin/zero_vote/login.php, skin/zero_vote/setup.php" 파일을 다음과 같이 수정 [5]

패치전

if (eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";

_head.php

if (eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";

zero_vote/파일들

패치후

if (eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||
eregi("^/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

_head.php

if (eregi(":\/\/",$dir)||eregi("\.\.",$dir)||
eregi("^/",$dir)||eregi("data:;",$dir)) $dir ="./";

zero_vote/파일들


보안패치 적용후 게시판은 정상적으로 작동하는데 메인화면이 하얗게 백지처럼 나오는 오류 관련글

( http://danbisw.tistory.com/6769 )


□ 이용자 주의사항
   o 09년 9월 25일부터 제로보드4는 구조적인 한계로 인한 보안 취약점 문제로
     공식적인 배포를 중지할 예정임[1, 2]
   o 제로보드4의 공식적인 배포는 중지되었으나 신규취약점의 피해를 막고 정보를
     공유하기 위해 공식 커뮤니티는 계속 운영될 예정
   o 따라서 이용자들은 제로보드4의 공식 커뮤니티[3] 사이트의 보안 정보 공유
     게시판[4]을 주기적으로 확인하여 신규 취약점에 대한 정보를 숙지하고
     이에 따른 조치를 취해야함
   o 혹은, 지속적인 보안패치 제공 서비스가 가능한 홈페이지 게시판으로
     업그레이드를 권고


□ 용어 정리
   o 제로보드(ZeroBoard): PHP 언어로 작성된 홈페이지용 게시판 소프트웨어
     또는 프레임워크
   o PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어


□ 기타 문의사항
   o 제로보드4는 더 이상 사용할 수 없는 건가요?
     - 아닙니다. 사용하실 수 있습니다. 그러나 제작사에서 더 이상 공식적인
       보안 패치를 제공하지 않기 때문에 신규 취약점으로 인한 피해를 입으실
       수 있으므로 이용자 주의사항을 숙지하시길 바랍니다.
   o 제로보드4의 공식 커뮤니티는 계속 운영되나요?
     - 네 운영됩니다. 제로보드4 공식 커뮤니티 사이트[3]는 제로보드4의 취약점
       정보 및 기타 정보 공유를 목적으로 계속 운영이 됩니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 참고사이트
   [1] http://www.xpressengine.com/18297368
   [2] http://www.xpressengine.com/18297850
   [3] http://www.xpressengine.com/zb4_main
   [4] http://www.xpressengine.com/zb4_security
   [5] http://www.xpressengine.com/18319857

 

 





 
적립금정책회사소개채용안내스팸정책개인정보취급방침 서비스약관찾아오시는길사이트맵