htaccess 파일 업로드로 인한 보안 버그 패치 > 기술자료 | 해피정닷컴

htaccess 파일 업로드로 인한 보안 버그 패치 > 기술자료

본문 바로가기

사이트 내 전체검색

htaccess 파일 업로드로 인한 보안 버그 패치 > 기술자료

제로보드 htaccess 파일 업로드로 인한 보안 버그 패치

페이지 정보


본문

아래는 제로보드 홈페이지에 등록된 공지사항입니다.
----------------------------------------------------------------------------------------------------------------

제로보드에서 .htaccess 파일 업로드를 통한 보안버그에 대해 패치를 하였습니다.
KISA에서 예전에 알려주신 것이였는데 제가 이미 패치를 한 줄 알고 있다가 다시 연락을 받고 부랴 부랴 패치하게 되었습니다.
버그 관리 소홀에 대해서 진심으로 죄송하다는 말씀드리겠습니다.
write_ok.php 파일에서 첨부파일 1, 2에 대해 파일이름의 제일 앞에 . (점, dot)이 있는지에 대해서만 체크하였기에 별도의 패치레벨을 올리지 않았습니다.

=== write_ok.php ===

211번째줄
if(substr($s_file_name1,0,1)=='.'||eregi("\.inc",$s_file_name1)||eregi("\.phtm",$s_file_name1)||eregi("\.htm",$s_file_name1)||eregi("\.shtm",$s_file_name1)||eregi("\.ztx",$s_file_name1)||eregi("\.php",$s_file_name1)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name1)||eregi("\.cgi",$s_file_name1)||eregi("\.pl",$s_file_name1)) Error("Html, PHP 관련파일은 업로드할수 없습니다");

252번째줄
if(substr($s_file_name2,0,1)=='.'||eregi("\.inc",$s_file_name2)||eregi("\.pht",$s_file_name2)||eregi("\.htm",$s_file_name2)||eregi("\.shtml",$s_file_name2)||eregi("\.ztx",$s_file_name2)||eregi("\.php",$s_file_name2)||eregi("\.dot",$s_file_name1)||eregi("\.asp",$s_file_name2)||eregi("\.cgi",$s_file_name2)||eregi("\.pl",$s_file_name2))

와 같이 211, 252번째라인의 제일 앞에 파일이름을 검사하여 . 으로 시작하는 일반적이지 않은 모든 파일에 대해서 업로드 금지를 하도록 하였습니다.

기존에 사용하시던 분은 아래 제로보드 패치파일을 다운로드 받아서 덮어쓰시거나 위 211, 252번째 줄을 수정하시면 됩니다.

패치파일 다운로드 : http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=54

앞으로는 KISA의 도움을 얻어 보안버그가 알려지면 바로 바로 수정하도록 하겠습니다.


ps. 제로보드4의 경우 현재 유지관리만 되고 있는데 제로보드의 새버젼인 zb5(가칭)과 별도로 발전시켜나가기 위해서 준비중입니다.
    여건이 갖추어지면 다시 공지하도록 하겠습니다.

늘 감사합니다.

댓글목록

등록된 댓글이 없습니다.


Total 32건 1 페이지
  • RSS
기술자료 목록
32
제로보드   7887  2019-09-17 14:13 ~ 2019-09-17 14:21  
31
제로보드   11147  2017-08-08 04:18 ~ 2017-08-08 00:00  
30
제로보드   9016  2016-12-24 03:59  
29
제로보드   14736  2016-09-30 16:32 ~ 2022-04-15 19:45  
28
제로보드   18505  2010-03-09 21:40  
27
제로보드   14781  2009-03-24 19:31 ~ 2018-06-14 18:53  
26
제로보드   14769  2008-06-26 18:32  
25
제로보드   32869  2008-04-15 09:48  
24
제로보드   19174  2007-11-09 17:08  
23
제로보드   12553  2007-11-09 17:06  
22
제로보드   15983  2007-09-12 11:35 ~ 2007-05-09 00:00  
21
제로보드   15116  2007-04-27 14:13  
20
제로보드   19877  2007-04-23 16:53  
19
제로보드   15461  2007-02-03 17:38 ~ 2017-03-13 00:00  
열람
제로보드   18356  2006-12-11 18:22  
17
제로보드   16540  2006-11-28 11:28  
16
제로보드   14085  2006-07-20 08:08  
15
제로보드   16496  2006-07-03 10:26  
14
제로보드   15251  2006-06-28 17:28  
13
제로보드   18283  2006-06-26 19:01  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.