제로보드 pl5 신규 보안 취약점 패치
안녕하세요?
제로보드 최신 버전인 pl5 에 여전히 다수의 보안 취약점이 있다는 사실을 보안에 관심을 기울이시는 분들은 잘 알고 계실 것입니다.
현재 브라질 해킹 그룹들이 제로보드를 다운받아 소스를 분석 중인 정황이 KrCERT를 통해 파악이 되었습니다. 또한 오래도록 쉬쉬하던 zero_vote 스킨쪽의 취약점 중 일부가 브라질 해킹 그룹들에 의해 공격기법 수준까지 상세히 발표되어 있는 상황이고요. 해당 사항에 대해선 http://bbs.kldp.org/viewtopic.php?t=49907&highlight=를 참조하시기 바랍니다.
작년 말부터 올해 초에 걸쳐 저희가 자체 조사한 결과, 제로보드 최신 버전 pl5 에도 여전히 존재하는 다수의 보안 취약점이 발견되었습니다. 이에 대한 비공식 패치 파일을 제공하오니, 신속히 조치하시어, 홈페이지 대량 변조 공격의 피해를 입지 않도록 만전을 기하시기 바랍니다.
참고로
취약점 1의 경우 대부분의 사이트에서 magic_quotes_gpc 옵션은 기본값인 On을 유지하고 있으므로, 공격 발생 가능성이 낮을 것으로 예상합니다.
취약점 2는 최근 대량 변조 사태가 발생한 취약점과 매우 유사하여, 대량 피해가 예상됩니다. allow_url_fopen을 Off 로 바꾸시면 일부 프로그램이 정상 작동하지 않을 수 있으니 주의하시고, 되도록 소스를 수정토록 하시기 바랍니다.
취약점 3은 국내 보안 커뮤니티에서 약 1년전에 알려져 구전되던 취약점으로, 저희 회사가 발견한 취약점이 아니어서 그간 말씀을 안드렸습니다. 그러나 현재 해외 해킹 그룹이 해당 취약점을 독자적으로 발견하여 보안 메일링 리스트에 취약점 정보를 발표하였습니다. 이에 추가적인 대량 변조 피해의 우려가 있으니 조속히 조치하시길 바랍니다.
패치 파일 다운 링크 : http://www.stgsecurity.com/
[quote="opt"]현재 브라질 해킹 그룹들이 제로보드를 다운받아 소
stgsecurity.com 소속이신가요?
예전에 opt 님께서 올린 제로보드 취약점관련 글을 보면
stgsecurity.com 측에서 외국 메일링리스트에 제로보드 취약점을 영문으로 포스팅하였는데,
우선 국내에 충분히 알려져 많은 사람들이 대처할수 있게 하는것이 좋을텐데..
제로보드취약점이 국내에 공개적으로 알려지지 않은 시점에
왜 굳이 취약점이 외국 해커그룹에 노출되도록 영문메일링을 포스팅하였는지 조금 의아합니다.
[quote="달파란"]우선 국내에 충분히 알려져 많은 사람들이 대처
해당 주제에 대해선 아래의 스레드를 참고하시는 것이 좋을 듯 합니다.
http://bbs.kldp.org/viewtopic.php?t=47911
추가로 덧붙입니다.
누가 제발 좀 보안 정보를 공유할 수 있는 공간을 만들어주셨으면 합니다.
이미 국내 보안 기술은 해외 보안 기술 자료나 보안 권고문 번역 자료를 앵무새처럼 떠들어대는 수준을 훨씬 뛰어넘고 있습니다. 국내 환경에서 공유할 필요가 있는 정보들이 나날이 늘어나고 있습니다만, 이런 정보가 적시에 필요한 사람에게 전달되지 못하고 있습니다. 관련 분야에 계신 분들의 협조가 절실히 필요하다고 생각합니다.
----
LUX ET VERITAS | Just for Fun!
Re: 제로보드 pl5 신규 보안 취약점 패치
어디 있죠?
그리고 세가지 문제점이라고만 적어놓으니 어느 문제인지 알 수가 없군요. 보안 권고문 원문을 링크해주실 수 있는지요?
Re: 제로보드 pl5 신규 보안 취약점 패치
브라우저 호환성 문제인가 보네요.
한글 보안 권고문 : http://www.stgsecurity.com/data/SSA20050110-25.pdf
제로보드 비공식 보안 패치 : http://www.stgsecurity.com/data/zb4.1pl6.zip
----
LUX ET VERITAS | Just for Fun!
Re: 제로보드 pl5 신규 보안 취약점 패치
팝업창으로만 뜨는 것이었군요. 그것도 모르고 한참 헤맸습니다.
Re: 제로보드 pl5 신규 보안 취약점 패치
저런. 파이어폭스 사용자나 윈도즈 서비스팩 2를 깐 사람은 보안회사 손님으로 안 받나보죠? :oops:
[quote]누가 제발 좀 보안 정보를 공유할 수 있는 공간을 만들어주셨
이곳에다 만든다면 별도로 게시판을 하나 더 추가하는 것으로 충분할까요? 필요하다고 생각된다면 게시판 하나 만드는 것 정도야 뭐 어렵지 않으니까요.
[quote="권순선"][quote]누가 제발 좀 보안 정보를 공유할 수
제 생각에는 단순한 게시판이 아닌 security.kldp.org 라는 것을 하나 만들어서 포스팅 하면 검증해서 level 을 붙여서 공시하는 쪽으로 하는 것이 낳을 것 같군요. krcert 가 역할이 충분하지 못한 상황에서 kldp 가 그 역할을 주도해 나가는 것도 한 방법일 듯 싶습니다.
그리고 해당 내용을 RSS 로 배포를 해서 널리 공지 하기 쉽게 하는 방법도 있겠죠.
그렇게 되면 관리자들에게 security.kldp.org 를 참조 하든지 security.kldp.org 에서 제공하는 RSS Feed 를 참조하라고 할 수 있을 겁니다. 그리고 보안 소식을 접하시는 분들은 security.kldp.org 로 포스팅을 해 주시면 되겠죠. 게시판 식으로 한다면 중구난방에, 중복 포스팅이 발생할 확률이 상당히 높습니다. 특히 중복 포스팅이 문제인데, 중복 포스팅이 발생할 경우, 등록된 보안버그가 내가 해결한 것인지 아닌지를 확인해야 하는 번거러움이 발생하거든요. :-)
다만, 문제는 한국어를 얼마나 잘 활용할 수 있느냐의 문제인데.. 해당 취약점에 대한 번역은 솔직히 난감하네요. 크크 ... 그리고 열심히 포스팅을 해 줄 사람도 있느냐가 문제겠고요.
"새 소식, 뉴스" 밑에다가 "보안 관련 정보" 쯤으로 하나 더 만드는
"새 소식, 뉴스" 밑에다가 "보안 관련 정보" 쯤으로 하나 더 만드는 건 어떨까요?
물론 제대로 하려면 KLDP-SECURITY-ADVERSARTY를 만들어 "KSA 보안경고"를 내야 하겠지만, 이건 먼 미래의 일로 남겨두고요.
보안경고, 보안 관련 사고, 보안 관련 경험 등을 나누는 게시판이 있었으면 합니다.
때때로 보안관련 뉴스는 꽤 난해하거든요. 어디어디를 고치면 된다고 확실하게 안 적어주는 경우가 많아서요.
[quote="김정균"][quote="권순선"][quote]누가 제발 좀
새로운 공간을 만드는 것 자체는 크게 문제가 되지 않을 거라고 생각하는데 그걸 과연 얼마나 지속적으로 운영할 수 있을 것인가, 어떻게 많은 사람들에게 알려서 스스로 잘 돌아갈 수 있게 할 것인가가 더 어려운 문제일 것이라고 생각합니다.
그렇기 때문에 제생각엔 일단 이곳에서 먼저 간단하게나마 게시판 형식으로 시작해서 더이상 게시판만으로 커버가 불가능하다는 생각이 들면 그때 가서 별도의 사이트를 만든다든가 하는 대안을 찾아보는 것이 순서가 아닐까 합니다. 아직은 이쪽(kldp bbs)에 사람들이 많기 때문에 이 사람들을 잘 활용하고, 불특정 다수에게 좀더 신속한 정보를 전달하려면 사람들이 많이 있는 곳에서 먼저 시작하는 것이 효과적일 것 같습니다.
일단 제 생각은 이렇습니다. 만약 게시판을 만든다면 어떤 식으로 만드는 것이 좋을지, 만약 별도의 사이트를 만드는 것이 좋겠다면 어떤 cms를 도입하는 것이 좋을지에 대한 의견을 들어 봤으면 좋겠네요.
[quote="김정균"]제 생각에는 단순한 게시판이 아닌 security
김정균님 생각에 한표를 :wink:
현재로서는 하나의 게시판을 추가하는 것으로 출발할수도 있겠지만,
장기적으로는 kldp-security-advisory 과 같은 시스템을 만들어나가면 정말 좋을것 같습니다.
계정이 여러 개인 경우 한 줄 패치법
계정이 여러 개인 경우 한 줄 패치법.
csh, bash 에서 시험해서 성공했습니다.
펄이 있어야 합니다.
계정이 모여 있는 디렉토리는 /home 이라고 가정합니다. 다른 분은 자기 환경에 맞게 옮겨가심 됩니다.
zero_vote 말고도 여기에 기반한 다른 스킨도 같은 코드를 가지고 있습니다. 아래 명령으로 한꺼번에 패치할 수 있습니다. 5군데 서버서 확인한 결과입니다.
먼저 확인하는 방법입니다.
grep -nr 'eregi(":' `find . -name outlogin.php`
grep -nr 'eregi(":' `find . -name _head.php`
grep -nr 'eregi(":' `find . -name write.php`
grep -nr 'category])' `find . -name print_category.php`
grep -nr 'include "$dir' `find . -name login.php`
login 대신에 ask_password, setup, error 을 넣어서 확인하면 됨.
패치하는 방법
cd /home
1. outlogin.php
grep -lr 'eregi(":' `find . -name outlogin.php` | xargs -n 1 perl -pi -e 's,eregi\(\"\:\\\/\\\/\"\,\$_zb_path\),eregi\(\"\:\\\/\\\/\"\,\$_zb_path\) \|\| eregi\(\"\\\.\\\.\"\,\$_zb_path\),g'
2. _head.php
grep -lr 'eregi(":' `find . -name _head.php` | xargs -n 1 perl -pi -e 's,eregi\(\"\:\\\/\\\/\"\,\$_zb_path\),eregi\(\"\:\\\/\\\/\"\,\$_zb_path\) \|\| eregi\(\"\\\.\\\.\"\,\$_zb_path\),g'
3. bbs/include/write.php, bbs/write.php
grep -lr 'eregi(":' `find . -name write.php` | xargs -n 1 perl -pi -e 's,eregi\(\"\:\\\/\\\/\"\,\$dir\),eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\),g'
4. /bbs/include/print_category.php
grep -lr 'category])' `find . -name print_category.php` | xargs -n 1 perl -pi -e 's,category\]\) \{,category\]\) \{\n\t\tif\(eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\)\) \$dir=\"\.\"\;,g'
5. bbs/skin/zero_vote/ask_password.php, error.php, login.php, setup.php
grep -lr 'include "$dir' `find . -name login.php` | xargs -n 1 perl -pi -e 's,include \"\$dir,if\(eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\)\) \$dir=\"\.\"\; include \"\$dir,g'
grep -lr 'include "$dir' `find . -name error.php` | xargs -n 1 perl -pi -e 's,include \"\$dir,if\(eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\)\) \$dir=\"\.\"\; include \"\$dir,g'
grep -lr 'include "$dir' `find . -name ask_password.php` | xargs -n 1 perl -pi -e 's,include \"\$dir,if\(eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\)\) \$dir=\"\.\"\; include \"\$dir,g'
grep -lr 'include "$dir' `find . -name setup.php` | xargs -n 1 perl -pi -e 's,include \"\$dir,if\(eregi\(\"\:\\\/\\\/\"\,\$dir\) \|\| eregi\(\"\\\.\\\.\"\,\$dir\)\) \$dir=\"\.\"\; include \"\$dir,g'
grep 이하는 모두 한 줄입니다.
늦게 나마..
opt님의 노력(Advisory, Posting ...)으로 보안의식이 많이 고무되고 있다는건 참 좋은 것 같습니다.
또한 다행스럽게 좋은방향(?)으로 전이, 발전되고 있는 것 또한
다행이라 생각됩니다.
한글 보안 뉴스 및 Advisory를 전문적으로 다루는 사이트가 없는 것은 그만큼 관리하기가 어렵기 때문이라고 생각됩니다.
Der Keiler All Security Mailing의 모든 소식을 따라 잡기도
힘든게 사실인데 모든걸 한글화 해서 posting하고 관리하는 건
아무래도 개인은 힘들겠지요. 이건 이쪽 바닥의 분들도 많이
지치는게 사실입니다.
(고객의 needs와 풍월을 모두 커버하기위해선 어쩔수 없이 분석할 수 밖에 없지만 말입니다)
이러한 이유로 개인의 노력으로 Security Alert을 전문화 하는
게시판이 존재하길 바라는건 너무 어려운것 같습니다.
결론은 없고 문제점만 제시한 것 같아 죄송합니다.
Security.kldp.org의 탄생을 환영하는 의미에서 답글을 작성한것이니 너그러이 봐주세요..
행복하세요 ^_^
물론 하나 만들어주시면야 고맙게 사용하겠지만 우선 bbs라도 만들어서 활
물론 하나 만들어주시면야 고맙게 사용하겠지만 우선 bbs라도 만들어서 활성화를 우선으로 하는것이 좋을듯 싶습니다. ^^
대박나겠다 싶으면 공간을 따로 마련해도 늦지 않겠지요. ^^
제 생각엔 보안 분야의 게시판을 운영함과 동시에 버그질라같은 버그 추적
제 생각엔 보안 분야의 게시판을 운영함과 동시에 버그질라같은 버그 추적 소프트웨어를 설치해서 일반 사용자들이 자유롭게 보안 취약점을 올리고 그에 따른 검증 및 대책들을 올릴 수 있도록 해도 괜찮을 듯 싶습니다.
(말해놓고 보니 젠투 운영방식이랑 비슷한-_-;;)
앗... 위의글은 제가 올린겁니다 -_-;;로긴을 안하고 글을 썼
앗... 위의글은 제가 올린겁니다 -_-;;
로긴을 안하고 글을 썼더니 이런식으로 되는군요
----------------------------------------
Kwonjin Jeong
버그 리포트는 어찌됐건 계속 올려져야 한다.
먹고 살기 위해서..
제로보드 pl5 신규 보안 취약점이 공개되었군요..http://sec
제로보드 pl5 신규 보안 취약점이 공개되었군요..
http://securitytracker.com/alerts/2005/Jan/1012884.html
opt님 수고하셨습니다..^^
내가 그린 원 안에서.. 난 서 있겠지.. 언제까지나..
[quote="권순선"][quote="김정균"][quote="권순선"][
CMS라면 http://plone.org 가 어떨까 생각합니다... 그동안 보안상에 큰문제가 생겼다는소리는 못들었거든요...