'생각하는섬 바닷가 - 제로보드 보안패치 1월 13일자'

제로보드의 보안 흠결이 다시 발견되었고 근래에 문제가 되고 있는 브라질 해커 그룹의 주요 침투 경로가 되고 있다고 합니다. 아래의 문서는 (주)에스티지시큐리티에서 제작/배포한 문서를 요약 정리한 것이며, 제로보드의 공식 패치 내용이 아닙니다. 이 문서의 저작권은 (주)에스티지시큐리티에 있습니다.

참고문서 : http://www.stgsecurity.com/data/SSA20050110-25.pdf

※ 패치 적용시 '괄호'의 순서 및 갯수에 주의하십시오.
※ 붉게 표시된 부분이 수정/추가된 부분입니다.

1) _head.php 12행쯤
// 라이브러리 함수 파일 include
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path=""; // 2005.1.13 patch

2) include/write.php 맨 밑
※ 12월 27일 패치하신 분
// 공지기능 사용하는지 않하는지 표시;;
        if(!$is_admin||$mode=="reply") { $hide_notice_start=""; }
        if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir="."; // 2005.1.13 patch
        include $dir."/write.php";

※ 12월 27일 패치하지 않으신 분
// 공지기능 사용하는지 않하는지 표시;;
        if(!$is_admin||$mode=="reply") { $hide_notice_start=""; }
        if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir="."; // 2005.1.13 patch
        include $dir."/write.php";
를 추가

3) outlogin.php 맨 위, 저작권 바로 아랫 부분
global 변수가 주욱 나열된 그 다음 줄에
※ 12월 27일 패치하신 분
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path="./"; // 2005.1.13 patch

※ 12월 27일 패치하지 않으신 분
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path="./"; // 2005.1.13 patch
를 추가

4) include/print_category.php 맨위
<?
        if($setup[use_category]) {
                if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir="."; // 2005.1.13 patch
                $c_href="&id=$id&page=$page&page_num=....(생략)....

기타) zero_vote 스킨 안에 있는 파일 중
login.php, setup.php, ask_password.php, error.php 에서

<? include "$dir/value.php3"; ?>

를

<? if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir="."; // 2005.1.13 patch
include "$dir/value.php3"; ?>

로 수정

※ zero_vote 스킨뿐만이 아니라 위와 같이 $dir.... 이런 경로로 파일을 인클루드 하는 스킨은 모두 고쳐주십시오.

2003년 1월 8일 이후 모두 명 오늘 명
메인 페이지
칼럼 보기
카툰 보기
게시판 가기
사이트맵
그밖의 것들

가입하면 정말 편합니다;;

▶	리디의 생각하는 글
	리디의 헤드라인
	써니의 생각하는 예배자
	써니의 헤드라인
	마크의 주님과의 열애
	마크의 헤드라인
	인이 칼럼
	인이의 헤드라인
	HTML 페이지
	- - - - -
	준희의 칼럼 I hope
	준희의 헤드라인
	크리스찬의 애인
	조약돌 칼럼