09
2005-Jan
2005년01월09일 보안패치 적용작성자: 뚱뚱이 IP ADRESS: *.53.252.187 조회 수: 6127
1. 작업일시
2005년01월09일
2. 주요 작업내용
보안패치 적용
-----------------------------------------
제로보드 제로님의 말씀
안녕하세요, 제로입니다.
오랫동안 제로보드와 관련된 글을 적지 못하게 된 점에 대하여 매우 죄송하다는 말씀을 드리고 시작하겠습니다.
개인적인 사정으로 인하여 기능 업그레이드 및 개선을 하지 못하고 있습니다.
이 점 많은 분들과의 약속을 어긴 것이라 생각하고 매우 죄송하게 생각하고 있습니다.
다만 요즘 제로보드 4.1 pl4의 소스를 정리하고 있으며 몇가지 제로보드에서 취약한 기능들에 대해서 보강할 수 있는 방법을 진행해 나가고 있습니다. (예를 들어 검색)
아무튼, 갑자기 제로보드 보안 버그에 대해서 연락을 받게 되어 부랴 부랴 수정하고 패치버젼을 올립니다.
이 버그는 php 설정에서 allow_url_fopen = On 으로 설정되어 있는 서버에서만 발생하는 문제라고 볼 수 있습니다.
php의 경우 매우 편리하고 막강한 기능을 제공하는데 이 중 외부 ftp나 웹서버에 있는 파일을 부르면서 실행할 수 있는 기능도 있습니다.
매우 편리한 만큼 매우 취약할 수도 있는 코드입니다.
이 취약점을 이용한 공격방법에 대해서 패치를 하여 자료실에 올려 놓았습니다.
▶ 보안 버그 패치된 전체 파일 받기 (새로설치하시는 분)
▶ 패치된 파일만 받기 (기존에 사용중이시던 분)
위 두 링크 중에서 원하시는 링크를 이용하시면 됩니다.
그리고 혹시나 하여 당부드리는 부분이 있습니다.
서버 관리하시는 분들이나 호스팅하시는 분들은 가능하면 php.ini 파일에서 allow_url_fopen = Off 로 하시기를 권해드립니다.
이 기능이 편리하기는 하지만 제로보드 뿐만 아니라 이를 제대로 막지 않은 코드가 발견된다면 매우 위험할 수가 있습니다.
다시 한번 당부드립니다.
감사합니다.
2005년01월09일
2. 주요 작업내용
보안패치 적용
-----------------------------------------
제로보드 제로님의 말씀
안녕하세요, 제로입니다.
오랫동안 제로보드와 관련된 글을 적지 못하게 된 점에 대하여 매우 죄송하다는 말씀을 드리고 시작하겠습니다.
개인적인 사정으로 인하여 기능 업그레이드 및 개선을 하지 못하고 있습니다.
이 점 많은 분들과의 약속을 어긴 것이라 생각하고 매우 죄송하게 생각하고 있습니다.
다만 요즘 제로보드 4.1 pl4의 소스를 정리하고 있으며 몇가지 제로보드에서 취약한 기능들에 대해서 보강할 수 있는 방법을 진행해 나가고 있습니다. (예를 들어 검색)
아무튼, 갑자기 제로보드 보안 버그에 대해서 연락을 받게 되어 부랴 부랴 수정하고 패치버젼을 올립니다.
이 버그는 php 설정에서 allow_url_fopen = On 으로 설정되어 있는 서버에서만 발생하는 문제라고 볼 수 있습니다.
php의 경우 매우 편리하고 막강한 기능을 제공하는데 이 중 외부 ftp나 웹서버에 있는 파일을 부르면서 실행할 수 있는 기능도 있습니다.
매우 편리한 만큼 매우 취약할 수도 있는 코드입니다.
이 취약점을 이용한 공격방법에 대해서 패치를 하여 자료실에 올려 놓았습니다.
▶ 보안 버그 패치된 전체 파일 받기 (새로설치하시는 분)
▶ 패치된 파일만 받기 (기존에 사용중이시던 분)
위 두 링크 중에서 원하시는 링크를 이용하시면 됩니다.
그리고 혹시나 하여 당부드리는 부분이 있습니다.
서버 관리하시는 분들이나 호스팅하시는 분들은 가능하면 php.ini 파일에서 allow_url_fopen = Off 로 하시기를 권해드립니다.
이 기능이 편리하기는 하지만 제로보드 뿐만 아니라 이를 제대로 막지 않은 코드가 발견된다면 매우 위험할 수가 있습니다.
다시 한번 당부드립니다.
감사합니다.