(주)에이쓰리시큐리티( http://a3security.com ) 에서 제로보드4의 사용자 입력 변수 검증을 하지 않아 발생하는 보안 취약점을 알려주셨습니다.
이 보안 취약점은 CSRF라고 하는 관리자 권한을 우회하여 실행하게 하여 권한을 획득할 수 있는 매우 치명적인 것이니 꼭 패치하시기 바랍니다.
아래 zb4pl9도 패치를 하셔야 합니다.
[패치 방법]
include/list_check.php 파일의 116, 117 번째 아래 코드를 다음과 같이 바꾸시거나 첨부한 파일 list_check.php 을 덮어쓰시면 됩니다.
$file_name1=$data[s_file_name1]; $file_name2=$data[s_file_name2];
$file_name1=del_html($data[s_file_name1]); $file_name2=del_html($data[s_file_name2]);
제로보드4는 그 구조와 수 많은 코드 수정 팁/ 플러그인등으로 인하여 근본적인 보안 패치가 매우 어렵습니다.
가능하면 XE로 업그레이드 하는 것을 권해드립니다.
혹은 최근에 강력히 활용되는 CSRF 보안 취약점 공격을 방지하기 위해서 관리자 아이디는 관리자 설정만 하고 사이트 내 글을 보거나 활동을 할 때에는 관리 권한이 없는 아이디를 만들어서 활동하는 것이 보안 취약점 공격을 미연에 방지할 수 있는 하나의 방법일 수도 있습니다.
보안 취약점을 알려주신 A3 Security의 indra님께 감사의 말씀을 드립니다.
현재평점 0 (평가자 수 : 0)
여기에서 행복한 시간 되십시오.
최근 수정일 : 2009-03-02 10:58:57 - 백성찬(白星燦)