제로보드 htaccess 파일 업로드로 인한 보안 버그 패치
페이지 정보
본문
아래는 제로보드 홈페이지에 등록된 공지사항입니다.
----------------------------------------------------------------------------------------------------------------
제로보드에서 .htaccess 파일 업로드를 통한 보안버그에 대해 패치를 하였습니다.
KISA에서 예전에 알려주신 것이였는데 제가 이미 패치를 한 줄 알고 있다가 다시 연락을 받고 부랴 부랴 패치하게 되었습니다.
버그 관리 소홀에 대해서 진심으로 죄송하다는 말씀드리겠습니다.
write_ok.php 파일에서 첨부파일 1, 2에 대해 파일이름의 제일 앞에 . (점, dot)이 있는지에 대해서만 체크하였기에 별도의 패치레벨을 올리지 않았습니다.
=== write_ok.php ===
211번째줄
if(substr($s_file_name1,0,1)=='.'||eregi("\.inc",$s_file_name1)||eregi("\.phtm",$s_file_name1)||eregi("\.htm",$s_file_name1)||eregi("\.shtm",$s_file_name1)||eregi("\.ztx",$s_file_name1)||eregi("\.php",$s_file_name1)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name1)||eregi("\.cgi",$s_file_name1)||eregi("\.pl",$s_file_name1)) Error("Html, PHP 관련파일은 업로드할수 없습니다");
252번째줄
if(substr($s_file_name2,0,1)=='.'||eregi("\.inc",$s_file_name2)||eregi("\.pht",$s_file_name2)||eregi("\.htm",$s_file_name2)||eregi("\.shtml",$s_file_name2)||eregi("\.ztx",$s_file_name2)||eregi("\.php",$s_file_name2)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name2)||eregi("\.cgi",$s_file_name2)||eregi("\.pl",$s_file_name2))
와 같이 211, 252번째라인의 제일 앞에 파일이름을 검사하여 . 으로 시작하는 일반적이지 않은 모든 파일에 대해서 업로드 금지를 하도록 하였습니다.
기존에 사용하시던 분은 아래 제로보드 패치파일을 다운로드 받아서 덮어쓰시거나 위 211, 252번째 줄을 수정하시면 됩니다.
패치파일 다운로드 :http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=54
앞으로는 KISA의 도움을 얻어 보안버그가 알려지면 바로 바로 수정하도록 하겠습니다.
ps. 제로보드4의 경우 현재 유지관리만 되고 있는데 제로보드의 새버젼인 zb5(가칭)과 별도로 발전시켜나가기 위해서 준비중입니다.
여건이 갖추어지면 다시 공지하도록 하겠습니다.
늘 감사합니다.
----------------------------------------------------------------------------------------------------------------
제로보드에서 .htaccess 파일 업로드를 통한 보안버그에 대해 패치를 하였습니다.
KISA에서 예전에 알려주신 것이였는데 제가 이미 패치를 한 줄 알고 있다가 다시 연락을 받고 부랴 부랴 패치하게 되었습니다.
버그 관리 소홀에 대해서 진심으로 죄송하다는 말씀드리겠습니다.
write_ok.php 파일에서 첨부파일 1, 2에 대해 파일이름의 제일 앞에 . (점, dot)이 있는지에 대해서만 체크하였기에 별도의 패치레벨을 올리지 않았습니다.
=== write_ok.php ===
211번째줄
if(substr($s_file_name1,0,1)=='.'||eregi("\.inc",$s_file_name1)||eregi("\.phtm",$s_file_name1)||eregi("\.htm",$s_file_name1)||eregi("\.shtm",$s_file_name1)||eregi("\.ztx",$s_file_name1)||eregi("\.php",$s_file_name1)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name1)||eregi("\.cgi",$s_file_name1)||eregi("\.pl",$s_file_name1)) Error("Html, PHP 관련파일은 업로드할수 없습니다");
252번째줄
if(substr($s_file_name2,0,1)=='.'||eregi("\.inc",$s_file_name2)||eregi("\.pht",$s_file_name2)||eregi("\.htm",$s_file_name2)||eregi("\.shtml",$s_file_name2)||eregi("\.ztx",$s_file_name2)||eregi("\.php",$s_file_name2)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name2)||eregi("\.cgi",$s_file_name2)||eregi("\.pl",$s_file_name2))
와 같이 211, 252번째라인의 제일 앞에 파일이름을 검사하여 . 으로 시작하는 일반적이지 않은 모든 파일에 대해서 업로드 금지를 하도록 하였습니다.
기존에 사용하시던 분은 아래 제로보드 패치파일을 다운로드 받아서 덮어쓰시거나 위 211, 252번째 줄을 수정하시면 됩니다.
패치파일 다운로드 :
앞으로는 KISA의 도움을 얻어 보안버그가 알려지면 바로 바로 수정하도록 하겠습니다.
ps. 제로보드4의 경우 현재 유지관리만 되고 있는데 제로보드의 새버젼인 zb5(가칭)과 별도로 발전시켜나가기 위해서 준비중입니다.
여건이 갖추어지면 다시 공지하도록 하겠습니다.
늘 감사합니다.
댓글목록
등록된 댓글이 없습니다.