제로보드 보안버그가 새로 발표 되었습니다.
이번에 발표된 보안 버그
http://pandora.sapzil.info/text/notify/20050123.zb41advisory.php
비공식 보안 패치
http://pandora.sapzil.info/dist/zb41patch.zip
보안버그 발표자의 블로그 (토끼군)
http://pandora.sapzil.info
===========================
아래는 블로그에서 퍼온 글입니다.
===========================
제로보드 preg_replace 보안 취약점 (졸라 중요함) | 2005/01/23 AM 12:00
* 다시 존댓말 모드 ~_~
블로그에 바로 올리기 귀찮은 관계로 별도의 html 파일로 만들어서 올립니다. 다음 주소로 이동해 주세요:
http://pandora.sapzil.info/text/notify/20050123.zb41advisory.php
물론 이 링크는 맘대로 뿌리셔도 좋습니다. 내용 복사하셔서 뿌리셔도 상관은 없습니다 :p
혹시나 이 버그가 무엇인 지 전혀 이해가 안 가신다는 분들을 위해서 간단하게 설명드리면, "공개된 게시판에 HTML 태그 사용 옵션 켜고 글을 쓸 수 있으면, 이 버그를 사용해서 그 게시판에서 임의의 php 코드를 실행할 수 있다"라는 뜻입니다. 이거로 계정 권한 획득하고 커널 취약점을 공격하면 서버 장악까지 가능하기 때문에 문제가 되지요.
아이고 속 시원해서 죽겠습니다. 14달동안 끙끙 앓아 오다가 공개하니까 이제 속이 다 후련하네요.
덤: "졸라 중요함"이라는 내용은 솔직히 심심해서 붙인 부제(...)입니다만, 실제로 이 취약점의 중요도는 "중" 이상에 속합니다.
한 12시간 후에 또 덧붙임: 원문 수정되었습니다. 본문에서 잘못된 부분을 바로잡고 (thx 정태영 :) 패치 파일을 수정하였습니다. 이미 패치하신 분들께서는 보안 버그는 이미 해결되었으니 다시 패치하실 필요는 없습니다만, 제로보드 검색 기능에 불만이 많으신 분께서는 하는 것을 권장합니다. -_-;;;;
귀찮아서 여기엔 안 올렸는데, 제가 따로 올릴 필요가 없었군요. :)
귀찮아서 여기엔 안 올렸는데, 제가 따로 올릴 필요가 없었군요. :)
- 토끼군
[quote="tokigun"]귀찮아서 여기엔 안 올렸는데, 제가 따로
토끼군님 무작정 퍼다 날라서 죄송합니다.(--)(_)꾸벅
중요해 보여서요..;;;
[quote="bluework"][quote="tokigun"]귀찮아서
원래 블로그 글에도 퍼 날라도 된다고 써 놓았으니 상관은 없습니다 :)
- 토끼군
새로 발표된 [url=http://www.nzeo.com/bbs/zboa
새로 발표된 제로보드 4.1 pl6에는 이 버그가 수정되어 있습니다. 따로 패치하지 않으셔도 됩니다 :)
- 토끼군
휴.... php 업데이트 하라는 말은 없군..
아싸~~~