Skip to content

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
출처 : http://krcert.or.kr


국내 공개 웹 게시판(그누보드) 취약점 주의


□ 개요
  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS, CSRF 취약점이 발견됨[1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및
    악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의
    적극적인 조치 필요

□ 해당시스템
  o 영향받는 소프트웨어[1]
     - 그누보드 4.32.15 및 이전 버전

□ 해결방안
  o 그누보드 4.32.15 및 이전버전 사용자는 4.33.00버전으로 업데이트[1]
    ※ 패치 작업 이전에 원본 파일은 백업 필요
    ※ 덮어쓰기 방식의 패치를 적용하기 힘든 경우, 홈페이지[1]에
       “===중요===”부분을 참조하여 조치 

     * http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5540

     * http://www.sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5600
  o 그누보드를 새로 설치하는 이용자
     - 반드시 보안패치가 적용된 최신버전(4.33.00)을 설치

□ 용어 정리
  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
  o XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에
    클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔
    허용하는 취약점
  o CSRF (Cross-Site Request Forgery) : 권한을 도용하는 가짜 요청문이
    클라이언트의 웹브라우저상에서 실행되도록 유도 가능한 취약점
  o 그누보드 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크

□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5540


==============================================================================
□ FAQ


  o 질문(Q) : 공개 웹 게시판 그누보드 취약점에 대해 설명해주세요. 

  o 답변(A) :

    해당취약점은 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS 및
    CSRF 취약점이 발견되었습니다.
 
    취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취
    및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있습니다.

    ※ PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
    ※ XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에
       클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔
       허용하는 취약점
    ※ CSRF (Cross-Site Request Forgery) : 권한을 도용하는 가짜 요청문이
       클라이언트의 웹브라우저상에서 실행되도록 유도 가능한 취약점


  ---------------------------------------------------------------------

  o 질문(Q) : 이번 취약점의 영향 받는 버전은 무엇인가요? 

  o 답변(A) : 영향을 받는 버전
              - 그누보드 4.32.15및 이전 버전

  ---------------------------------------------------------------------


  o 질문(Q) : 보안 패치는 어떻게 적용하나요?

  o 답변(A) :

  1. 그누보드 홈페이지*를 참조하여, 취약점을 패치할 수 있습니다.
     ※ 패치 작업 이전에 원본 파일은 백업 필요

  2. 덮어쓰기 방식의 패치를 적용하기 힘든경우, 홈페이지*에
     “===중요===”부분을 참조하여 조치할 수 있습니다.

     * http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5540

     * http://www.sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5600
==============================================================================


List of Articles
번호 제목 글쓴이 날짜 조회 수
174 재 입대하기 VS 5천만원 받기 1 익은고구마 2011.08.14 11637
173 기사...폴란드 비행기추락사고.. 5 HappyYear 2010.04.10 11577
172 [ 공포 ] 무시무시한 영국 폭동 현장 1 익은고구마 2011.08.14 11528
171 태풍녀 동영상 곤파스녀 ADMINPLAY 2010.09.03 11523
170 ( -- ) 1 루시어 2011.06.27 11350
169 요즘 너무 더워요 ㅠㅠ 1 비스타 2011.06.23 11306
168 어드민플레이에 항상감사합니다. 1 심스니즘 2010.01.09 11282
167 홈페이지만드는데.. HappyYear 2010.04.10 11260
166 신형 람보르기니 1 익은고구마 2011.08.14 11229
165 ‘청출어람‘ 김기덕의 제자들 1 ADMINPLAY 2011.06.23 11175
164 흥행 논리가 흥행을 막는다 ADMINPLAY 2011.06.13 11057
163 함수부분 안전하게 인양완료.. 2 HappyYear 2010.04.25 11050
162 히로시마님? 여기계시네요..반갑습니다^^ 1 HappyYear 2010.04.04 10964
161 헤르서버 초기멤버인데요!! 질문좀.. 2 무적상태 2010.01.25 10926
160 트랜스포머, 왜 그렇게 난리야? ADMINPLAY 2011.06.30 10919
159 김연아, 프리스케이팅 '150점대' 돌파! 세계기록 세우며 ... file l2zeo 2010.02.26 10815
158 드라마"미스코리아" file 플라이오뎅 2013.12.19 10813
157 배너장착하였습니다. 2 행운의날 2009.12.29 10792
156 좋은정보가 많네요.. 1 여유로운삶 2013.01.14 10739
155 항상 잘쓰고 있습니다 감사합니다 ^^; 1 자꾸와 2010.01.20 10704
154 지하철 난투극 동영상 file ADMINPLAY 2010.10.04 10682
153 "치우고 꺼져" 청소부아주머니에 폭언 '경희대 패륜녀' 사건 1 file ADMINPLAY 2010.05.17 10666
152 어드민님. 자료실쪽 휴대용 어풀쪽 개설해주시면..^^ 3 NOS 2010.04.01 10582
151 [현빈 그남자] 현빈 그남자 듣기 l2zeo 2011.01.07 10569
150 ..아이패드를 구입했는데.. 빈상자... 참 허탈하겟네요.. ... 2 HappyYear 2010.05.16 10563
149 다큐멘터리 '트루맛쇼' 아직도 못봤어요? 1 ADMINPLAY 2011.06.16 10536
148 다시 불거진 스크린 독과점 논란 ADMINPLAY 2011.07.09 10400
147 천안함... 내외부 물질.. 북,중,러시아제 미사일 물질과 ... 3 HappyYear 2010.05.15 10399
146 한때 브아걸 멤버 요아리, 드디어 소원 성취 1 file ADMINPLAY 2010.06.18 10359
145 이제 다시 못 볼지도 모르는 아이유 3단 짤 file l2zeo 2010.12.29 10320
144 제로보드xe로 열심히수정햇는데.... 2 히로시마 2009.11.19 10266
143 유리 l2zeo 2011.02.12 10230
142 스타 네로서버!!레지스트리 1 file NEROSERVER 2010.04.02 10203
141 연아 옆으로 가야징. 1 익은고구마 2011.08.14 10161
140 어드민님. 2 l2zeo 2010.04.18 10152
139 경희대패륜녀_음성녹취파일_SWF 1 file ADMINPLAY 2010.05.17 10105
138 영화, 가족을 말하다 ADMINPLAY 2011.05.24 10082
137 가인 애교 플레이어 1 ADMINPLAY 2010.12.28 10075
136 2010 개봉예정 영화 해외 아이언맨2 VS 페르시아 왕자-시... 5 NOS 2010.04.07 10050
135 영화 베스트 키드 재밌네요 ㅎㅎ 1 l2zeo 2010.07.06 10040
Board Pagination Prev 1 2 3 4 5 6 Next
/ 6

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234