이 글의 문맥을 분석하여 이글루스에 있는 많은 글 중에서 관련성이 높은 글을 자동으로 검색해 낸 결과입니다.
 by 헐랭이 
최근 등록된 덧글
윈도우 이맥스에서도 되..
by min at 10/11 오홍.... by 미니어스 at 10/08 아.. 힘듭니다 ㅠㅠ by taske at 10/05 5월 sql injection대.. by 손님 at 10/03 Avira AntiVir도 이런문.. by n0fate at 10/03 이거...무지 갖고 싶네.. by AquaMarine at 09/30 과찬을 해주시니 감사합.. by 헐랭이 at 09/28 헐랭이님은 ... 답변이.. by 8220 at 09/28 150만번 액세스 --; by xeraph at 09/27 프로그래밍이 분야가 다.. by 헐랭이 at 09/27 최근 등록된 트랙백
%를 이용한 보안 장비 우회
by NCHOVY 인터넷 스톰 센터 대량 SQL injection 의.. by UTPSOFT Secure Cen.. 테크노트 7 패치 권고 by NCHOVY 인터넷 스톰 센터 The Analyzer, 에후.. by תלתעסר Google 크롬에서 보안.. by 촌철살인(寸鐵殺人) 구글 크롬 자동 다운로드.. by NCHOVY 인터넷 스톰 센터 구글 크롬 1시간 탐험기 .. by brainchaos 언로그 구글 크롬 1시간 탐험기 .. by brainchaos 언로그 핸드폰에서 모든정보를 .. by /usr/local/blog 아파치 톰캣 디렉터리 열.. by NCHOVY 인터넷 스톰 센터 이글루 링크
EBC (Egloos Broad..
그들의 빈 센트 반 고흐 뽀빠이 아저씨의 말씀 뿌.. ::거듭나기:: window 쪼물딱 거리기 Like The Learning M.. SecurityCode Hello there ? 너비아니 냉동고 Carpe diem 외부 링크 주인장소개사적인 블로그 보안인력 이글루 모음 이글루 보안가든 PHP-Sec blog Coderant 해킹분석 쿨캣의 블로그 놀이 LOSER’s Hideout iTs mYcoM KEI의 바이러스세상 황규범의안티바이러스이야기 Think Different 일본 보안 뉴스 보안 메모 와우해커 CrackAttack 테스트 보안 정보 TACISACA IIA CERT US-CERT NIST-CSRC Check List NSA Sans SCORE CISECURITY CIAC CERIAS IWS FIRST AvertLab TrendLab F-Secure Blog Rootkit.com VitalSecurity DriverOnline DebugLab 보안 권고문 보안취약점 권고문바이러스 정보 Cisco 권고문 Oracle 권고문 공격 동향 일일 공격동향인터넷 트래픽현황 홈페이지 변조현황 한국기업 변조현황 공공기관 변조현황 교육기관 변조현황 보안 뉴스 SecurityTechNetHelp Net Security Linux Security Exploit milw0rm카테고리
이글루 파인더
  이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다. |
2007년 03월 03일
오늘은 조금 늦어졌군요. 지난 번처럼 한국 시간으로 새벽에 발표하지 않을까 싶어 밤을 꼬박 샜는데 Stefan Esser 가 예상과 달리 발표를 늦추는 바람에 늦어졌습니다. 방금 전에 2가지 취약점이 발표되었습니다.
이제 Month of PHP Bugs 프로젝트를 통해 발표된 취약점의 총 갯수는 7 개가 되었습니다. 오늘 발표된 취약점의 특징은 상용 제품인 Zend Platform 의 취약점이라는 것입니다.  ( 둘째날 발표된 취약점 리스트 ) 6번 취약점은 Zend Platform 패키지에 포함된 프로그램이나 쉘스크립트가 부적절한 permission 으로 설치되어, 로컬 사용자가 해당 파일을 조작할 수 있는 문제인데, 이를 이용해 root 권한 획득까지 가능하다고 합니다. 사이트의 설명이 너무나 자세해서 별도로 exploit 은 제공하지 않았군요. 공격할 파일 이름 중 하나도 구체적으로 지명해주었구요. 7번 취약점은 Zend Platform 에 포함된 ini_modifier 프로그램의 취약점으로 역시 root 권한 획득이 가능한 문제입니다. ini_modifier 는 Zend Platform 의 환경 설정 GUI 프로그램이 내부적으로 사용하는 프로그램인데, 이 프로그램의 취약점을 이용해 php.ini 설정을 변경해 악성 PHP extension 을 설치할 수 있다고 하는군요. 역시 사이트에 세세한 공격 방법이 step-by-step 으로 제공되므로 별도로 exploit 을 제공하지 않고 있습니다. 위의 2 가지 취약점은 Zend Platform 2.2.3 을 포함한 하위 버전이 가진 취약점으로 Zend 사이트에서 구체적인 패치 방법을 설명하고 있습니다. 6번 취약점의 경우 3.0 버전으로 업그레이드 하시거나 사이트에서 제공하는 방법 대로 퍼미션을 변경하시면 해결이 되고, 7번 취약점의 경우 3.0 버전으로 업그레이드 하시거나, 사이트에서 제공하는 새로운 ini_modifier 로 대체하는 방법이 제공되고 있네요. 무료 제품 쓰는 대부분의 사용자들에게는 해당이 안되는 문제니 마음 놓으셔도 될 듯 합니다. 대신 돈 내고 Zend Platform 사용하시는 분들이라면 업그레이드 하시거나, 대응 방안을 적용하셔야 할 듯... --- 추가 --- 올블로그 추천 눌러주는 센스~ 이 글과 관련있는 글을 자동검색한 결과입니다 [?]
| |||||
