취약점 위험도 평가 시스템인 CVSS를 살펴보다가, 마침 이전에 노트북 하드가 망가져서 보안 권고문 발표 실적 정리해둔 파일을 날려버린게 생각나, CVSS의 자료를 토대로 제가 발표한 보안 권고문을 다시 정리해보았습니다.
발표를 못하고 비공식적으로 알아두었던 취약점 3개는 이제 자료를 복구할 길이 없지만, 공식적으로 발표한 24개의 자료라도 복구할 수 있으니 다행이네요. 리누스 토발즈의 말 그대로 최상의 백업 방법은 인터넷에 유포하는 것이라는 말에 새삼 동감하게 됩니다.
이번에 정리하면서 놀란 점은 예전에 CVE 엔트리에 후보안(CAN)으로 올라갔던 권고문이나 아예 후보안에도 못올라갔던 권고문 중 상다수가 정식 CVE 엔트리에 등록되었다는 점입니다. 총 18개의 권고문에 대해 19개의 CVE 엔트리가 등록되어 있네요.
1. 제우스 웹 어플리케이션 서버 크로스사이트스크립팅 취약점
JEUS web application server xss vulnerability
http://www.securityfocus.com/bid/7969
2003년 6월 17일
2. 베리티 K2 툴킷 크로스사이트스크립팅 취약점
Verity K2 toolkit query builder xss vulnerability
http://www.securityfocus.com/bid/8073
2003년 7월 1일
3. 창신소프트 이지트랜스 서버 임의의 파일 다운로드 취약점
ChangshinSoft ezTrans server file download vulnerability
http://www.securityfocus.com/bid/8155
2003년 7월 8일
4. 파수닷컴 랩소디 뷰어 보안 우회 취약점
Wrapsody fasoo viewer 3.0 restriction bypass vulnerability
http://www.securityfocus.com/bid/8526
2003년 9월 2일
5. 인프론테크 웹타이드 디렉터리, 파일 노출 취약점 (CVE-2003-1152)
InfronTech WebTide 7.04 directory and file disclosure vulnerability
http://www.securityfocus.com/bid/8909
2003년 10월 25일
6. 아파치 cygwin 디렉터리 이동 취약점 (CVE-2004-0173)
Apache cygwin directory traversal vulnerability
http://www.securityfocus.com/bid/9733
2004년 2월 24일
7. 보부상 E-마켓 프로패셔널 다중 취약점
BBS E-Market Professional multiple vulnerabilities
http://www.securityfocus.com/bid/11191
2004년 9월 15일
8. 모니위키 크로스사이트스크립팅 취약점 (CVE-2004-1632)
MoniWiki XSS vulnerability
http://www.securityfocus.com/bid/11516
2004년 10월 22일
9. Cscope 임시 파일 생성 취약점 (CVE-2004-0996)
Cscope Insecure Temporary File Creation Vulnerabilities
http://www.securityfocus.com/bid/11697
2004년 11월 22일
10. KorWeblog 디렉터리 노출 취약점 (CVE-2004-1543)
KorWeblog Remote Directory Listing Vulnerability
http://www.securityfocus.com/bid/11744
2004년 11월 22일
11. JSPWiki 크로스사이트스크립팅 취약점 (CVE-2004-1544)
JSPWiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11746
2004년 11월 22일
12. Zwiki 크로스사이트스크립팅 취약점 (CVE-2004-1075)
Zwiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11745
2004년 11월 22일
13. UseModWiki 크로스사이트스크립팅 취약점 (CVE-2004-1397)
UseModWiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11924
2004년 12월 14일
14. 그누보드 원격 스크립트 실행 취약점 (CVE-2004-1403)
GNUBoard Remote File Include Vulnerability
http://www.securityfocus.com/bid/11948
2004년 12월 14일
15. 모니위키 임의의 스크립트 업로드 취약점 (CVE-2004-1545)
MoniWiki Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11951
2004년 12월 15일
16. 제로보드 다중 취약점 (CVE-2004-1419)
ZeroBoard Multiple Vulnerability
http://www.securityfocus.com/bid/12103
2004년 12월 20일
17. JS보드 임의의 스크립트 업로드 취약점
JSBoard Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11983
2004년 12월 15일
18. phpBB Attachment Mod 임의의 스크립트 업로드 취약점 (CVE-2004-1404)
phpBB Attachment Mod Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11893
2004년 12월 15일
19. 미디어위키 임의의 스크립트 업로드 취약점 (CVE-2004-1405)
MediaWiki Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11985
2004년 12월 15일
20. 그누보드 다중 확장자 파일 업로드 취약점 (CVE-2005-0269)
GNUBoard File Upload Vulnerability
http://secunia.com/advisories/13711/
2005년 1월 4일
21. 제로보드 다중 취약점 (CVE-2005-0379, CVE-2005-0380)
Zeroboard Multiple Vulnerabilities
http://secunia.com/advisories/13769/
2005년 1월 10일
22. JS보드 파일 내용 노출 취약점 (CVE-2005-0300)
JSBoard "table" Local File Inclusion Vulnerability
http://secunia.com/advisories/13920/
2005년 1월 20일
23. GForge 다중 취약점 (CVE-2005-0299)
GForge Two Vulnerabilities
http://secunia.com/advisories/13845/
2005년 1월 20일
24. Discuz! 다중 확장자 파일 업로드 취약점 (CVE-2005-2614)
Discuz! Multiple File Extensions Script Upload Vulnerability
http://secunia.com/advisories/16433/
2005년 8월 16일
---
2006년 2월 8일 추가
작년 말부터 CVE 가 CAN/CVE 체제를 CVE 단일 체제로 운용하기로 했다고 합니다.
출처 : http://www.networkcomputing.com/showitem.jhtml?articleID=174917924&pgno=4
발표를 못하고 비공식적으로 알아두었던 취약점 3개는 이제 자료를 복구할 길이 없지만, 공식적으로 발표한 24개의 자료라도 복구할 수 있으니 다행이네요. 리누스 토발즈의 말 그대로 최상의 백업 방법은 인터넷에 유포하는 것이라는 말에 새삼 동감하게 됩니다.
이번에 정리하면서 놀란 점은 예전에 CVE 엔트리에 후보안(CAN)으로 올라갔던 권고문이나 아예 후보안에도 못올라갔던 권고문 중 상다수가 정식 CVE 엔트리에 등록되었다는 점입니다. 총 18개의 권고문에 대해 19개의 CVE 엔트리가 등록되어 있네요.
1. 제우스 웹 어플리케이션 서버 크로스사이트스크립팅 취약점
JEUS web application server xss vulnerability
http://www.securityfocus.com/bid/7969
2003년 6월 17일
2. 베리티 K2 툴킷 크로스사이트스크립팅 취약점
Verity K2 toolkit query builder xss vulnerability
http://www.securityfocus.com/bid/8073
2003년 7월 1일
3. 창신소프트 이지트랜스 서버 임의의 파일 다운로드 취약점
ChangshinSoft ezTrans server file download vulnerability
http://www.securityfocus.com/bid/8155
2003년 7월 8일
4. 파수닷컴 랩소디 뷰어 보안 우회 취약점
Wrapsody fasoo viewer 3.0 restriction bypass vulnerability
http://www.securityfocus.com/bid/8526
2003년 9월 2일
5. 인프론테크 웹타이드 디렉터리, 파일 노출 취약점 (CVE-2003-1152)
InfronTech WebTide 7.04 directory and file disclosure vulnerability
http://www.securityfocus.com/bid/8909
2003년 10월 25일
6. 아파치 cygwin 디렉터리 이동 취약점 (CVE-2004-0173)
Apache cygwin directory traversal vulnerability
http://www.securityfocus.com/bid/9733
2004년 2월 24일
7. 보부상 E-마켓 프로패셔널 다중 취약점
BBS E-Market Professional multiple vulnerabilities
http://www.securityfocus.com/bid/11191
2004년 9월 15일
8. 모니위키 크로스사이트스크립팅 취약점 (CVE-2004-1632)
MoniWiki XSS vulnerability
http://www.securityfocus.com/bid/11516
2004년 10월 22일
9. Cscope 임시 파일 생성 취약점 (CVE-2004-0996)
Cscope Insecure Temporary File Creation Vulnerabilities
http://www.securityfocus.com/bid/11697
2004년 11월 22일
10. KorWeblog 디렉터리 노출 취약점 (CVE-2004-1543)
KorWeblog Remote Directory Listing Vulnerability
http://www.securityfocus.com/bid/11744
2004년 11월 22일
11. JSPWiki 크로스사이트스크립팅 취약점 (CVE-2004-1544)
JSPWiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11746
2004년 11월 22일
12. Zwiki 크로스사이트스크립팅 취약점 (CVE-2004-1075)
Zwiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11745
2004년 11월 22일
13. UseModWiki 크로스사이트스크립팅 취약점 (CVE-2004-1397)
UseModWiki Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/11924
2004년 12월 14일
14. 그누보드 원격 스크립트 실행 취약점 (CVE-2004-1403)
GNUBoard Remote File Include Vulnerability
http://www.securityfocus.com/bid/11948
2004년 12월 14일
15. 모니위키 임의의 스크립트 업로드 취약점 (CVE-2004-1545)
MoniWiki Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11951
2004년 12월 15일
16. 제로보드 다중 취약점 (CVE-2004-1419)
ZeroBoard Multiple Vulnerability
http://www.securityfocus.com/bid/12103
2004년 12월 20일
17. JS보드 임의의 스크립트 업로드 취약점
JSBoard Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11983
2004년 12월 15일
18. phpBB Attachment Mod 임의의 스크립트 업로드 취약점 (CVE-2004-1404)
phpBB Attachment Mod Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11893
2004년 12월 15일
19. 미디어위키 임의의 스크립트 업로드 취약점 (CVE-2004-1405)
MediaWiki Remote Arbitrary Script Upload Vulnerability
http://www.securityfocus.com/bid/11985
2004년 12월 15일
20. 그누보드 다중 확장자 파일 업로드 취약점 (CVE-2005-0269)
GNUBoard File Upload Vulnerability
http://secunia.com/advisories/13711/
2005년 1월 4일
21. 제로보드 다중 취약점 (CVE-2005-0379, CVE-2005-0380)
Zeroboard Multiple Vulnerabilities
http://secunia.com/advisories/13769/
2005년 1월 10일
22. JS보드 파일 내용 노출 취약점 (CVE-2005-0300)
JSBoard "table" Local File Inclusion Vulnerability
http://secunia.com/advisories/13920/
2005년 1월 20일
23. GForge 다중 취약점 (CVE-2005-0299)
GForge Two Vulnerabilities
http://secunia.com/advisories/13845/
2005년 1월 20일
24. Discuz! 다중 확장자 파일 업로드 취약점 (CVE-2005-2614)
Discuz! Multiple File Extensions Script Upload Vulnerability
http://secunia.com/advisories/16433/
2005년 8월 16일
---
2006년 2월 8일 추가
작년 말부터 CVE 가 CAN/CVE 체제를 CVE 단일 체제로 운용하기로 했다고 합니다.
출처 : http://www.networkcomputing.com/showitem.jhtml?articleID=174917924&pgno=4
덧글
송재훈 2006/02/18 09:36 # 삭제 답글
옛 추억이 생각나네요. 만일 저한테 주신적이 있으면 CD에 있을지도 모르겠는데요