Metasploit 을 사용하시는 분들 중에 최근 Ruby 1.8.7 로 업데이트하신 분들은 이미 이 문제로 고민하고 계실 것입니다.

메타스플로잇 사이트의 버그 설명 : http://www.metasploit.com/blog/#blog-0

요약하자면, Ruby 가 1.8.7 로 업그레이드 되면서 기능상의 변화가 생겨서, Metasploit 이 정상작동하지 않습니다.

이런 분들은 1.8.6 으로 다운그레이드를 하시면 문제를 해결할 수 있습니다.

저는 이미 다들 아실 줄로 알고 있었는데... 몰라서 고생하신 분도 계시고 하길래...

AVG 가 어제 업데이트를 수행한 이후로 VNCHooks.dll 을 바이러스로 오탐.

신속히 해결되었으면 좋겠는뒤...

이젠 버그 리포트 보내는 것도 귀찮고... 쩝...

테크노트 게시판의 원격 파일 실행 취약점이 발표되었습니다.

http://www.milw0rm.com/exploits/6478

twindow_notice.php 파일에서 shop_this_skin_path 변수를 다른 값으로 바꿀 수 없도록 필터링하는 조치가 필요하겠군요.

PHP 환경 설정에서 원격 파일을 include 하지 못하도록 allow_url_fopen 설정을 Off 로 해주는 것도 방법이 되겠구요. 물론 이 방법은 PHP 4, PHP 5 버전에 따라 옵션이 약간씩 변경되어 복잡해지긴 했지만요.

이미 테크노트로 인한 홈페이지 변조가 한창 진행 중 이군요.

POS 어플리케이션의 보안강화를 위해 미국은 2010년 7월 이내에 모든 가맹점의 POS 어플리케이션을 PABP 기준을 충족토록 했다고...

PABP 란? : http://j2k.naver.com/j2k_frame.php/korean/www.ncr.co.jp/data/rgp/rgp_pci.html

일본의 NCR 은 PABP 인증을 일본에서 최초로 획득했다고 보도
관련보도 : http://j2k.naver.com/j2k_frame.php/korean/www.ncr.co.jp/pressr/2008/080917.html

국내 POS 시스템의 현저히 낮은 보안 수준을 개선하기 위해서는 위와 같은 조치에 대해 고려할 필요가 있을 듯...

PABP/PA-DSS 기준을 비자, 마스터카드 등 해외 카드사들이 추진 중에 있으므로, 그 여파가 조만간 국내에 들어올 것으로 예상됩니다만, 국내에선 아직 PCI-DSS 에 대한 인식도 미미한 실정이라...

한국 펄 워크샵 2008 : Rising Perl 에서 발표한 자료입니다.

다운로드 : PerlSec.ppt

다른 분들의 발표 자료는 http://event.perl.kr/kpw2008/presentations 에서 보실 수 있습니다.