[보안/취약점] 제로보드 (zeroboard) 4.1 pl5 패치

(보안버그만 적용)

본문 그대로 인용, 출처 : nzeo

http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176

---------------------------------------------

안녕하세요, 제로입니다.

오랫동안 제로보드와 관련된 글을 적지 못하게 된 점에 대하여 매우 죄송하다는 말씀을 드리고 시작하겠습니다.

개인적인 사정으로 인하여 기능 업그레이드 및 개선을 하지 못하고 있습니다.

이 점 많은 분들과의 약속을 어긴 것이라 생각하고 매우 죄송하게 생각하고 있습니다.

다만 요즘 제로보드 4.1 pl4의 소스를 정리하고 있으며 몇가지 제로보드에서 취약한 기능들에 대해서 보강할 수 있는 방법을 진행해 나가고 있습니다. (예를 들어 검색)

아무튼, 갑자기 제로보드 보안 버그에 대해서 연락을 받게 되어 부랴 부랴 수정하고 패치버젼을 올립니다.

이 버그는 php 설정에서 allow_url_fopen = On  으로 설정되어 있는 서버에서만 발생하는 문제라고 볼 수 있습니다.

php의 경우 매우 편리하고 막강한 기능을 제공하는데 이 중 외부 ftp나 웹서버에 있는 파일을 부르면서 실행할 수 있는 기능도 있습니다.

매우 편리한 만큼 매우 취약할 수도 있는 코드입니다.

이 취약점을 이용한 공격방법에 대해서 패치를 하여 자료실에 올려 놓았습니다.

▶ 보안 버그 패치된 전체 파일 받기 (새로설치하시는 분)

▶ 패치된 파일만 받기 (기존에 사용중이시던 분)

위 두 링크 중에서 원하시는 링크를 이용하시면 됩니다.

그리고 혹시나 하여 당부드리는 부분이 있습니다.


서버 관리하시는 분들이나 호스팅하시는 분들은 가능하면 php.ini 파일에서 allow_url_fopen = Off 로 하시기를 권해드립니다.

이 기능이 편리하기는 하지만 제로보드 뿐만 아니라 이를 제대로 막지 않은 코드가 발견된다면 매우 위험할 수가 있습니다.

다시 한번 당부드립니다.


감사합니다.