ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

보안/패치

테크노트7 file inclusion 취약점 피해주의

2008. 09. 29

□ 개요 

  o 국내 홈페이지 및 웹 호스팅 환경에서 많이 이용되고 있는 테크노트 7에 file inclusion 취약점이
     발견되어, 대규모 홈페이지 변조 등의 해킹사고에 대한 사전주의 필요
   ※ 테크노트7은 홈페이지 제작에 필요한 다양한 CGI(Common Gateway Interface) 기능을 
      구현한 프로그램이며, 무료버젼과 유료버젼이 있음


□ 취약 대상 시스템 

  o 2008년 9월 현재까지 발표된 최신 버전의 테크노트 7 
   - TECHNOTE 7.2


□ 취약점 세부 내용 

  o 테크노트 7의 구성 파일 중 일부 파일에서 외부의 URL을 내부 파일과 동일하게
    참조할 수 있는 문제로 인해 외부에 설치된 임의의 코드를 이용해 시스템 내부 명령의 실행이 
    가능함


□ 위험성  

  o 공격에 성공할 경우, 웹 서버의 실행권한을 통하여 파일생성 및 백도어 설치, 홈페이지 변조 등
     이 가능해 짐
 
□ 해결 방안 

  o php의 설정파일인 php.ini를 수정하거나 apache 설정파일인  httpd.conf를 수정하여 예방 조치함

     가. php.ini 변경시  
       1. php.ini의 allow_url_fopen의 설정을 off로 변경 
          allow_url_fopen = off

       2. 설정변경 후, 웹 서버 재구동함
          apachectl restart

     나. httpd.conf 변경시 
       1. httpd.conf 에서 allow_url_fopen의 설정을 off로 변경
           php_admin_flag allow_url_fopen off -> Apache 설정파일에서만 설정 가능

       2. 설정변경 후, 웹 서버 재구동함
           apachectl restart

  o 보안 취약점이 존재하는 소스를 아래와 같이 수정을 하거나, 보안패치를 직접 다운로드 받아
     적용해야 함

     가. 소스파일 변경시
       1. 다음 아래 [수정해야 할 파일]들의 소스 첫줄에 아래와 같은 명령을 추가함
         [수정해야 할 파일] 
         skin_shop/standard/3_plugin_twindow/twindow_cart.php
         skin_shop/standard/3_plugin_twindow/twindow_notice.php
         skin_shop/standard/3_plugin_twindow/twindow_order_cancel.php
         skin_shop/standard/3_plugin_twindow/twindow_pass.php
         skin_shop/standard/3_plugin_twindow/twindow_popupgoods.php
         skin_shop/standard/3_plugin_twindow/twindow_search_rank.php
         skin_shop/standard/3_plugin_twindow/twindow_wish.php

    나. 보안패치 적용시
       1. 보안 패치를 다운로드 후, 압축 해제
          euckr__3_plugin_twindow.zip (euc-kr)   참고사이트 [2]
          utf8__3_plugin_twindow.zip (utf-8)       참고사이트 [3]

       2. 압축을 해제한 후 생성된 3_plugin_twindow 디렉토리를 테크노트가 설치된 
          디렉 토리로 이동하여 해당 디렉토리를 교체한다.
          technote/skin_shop/standard/3_plugin_twindow/


□ 참고사이트

[1] http://www.technote.co.kr/php/technote1/board.php?board=patch&command=body&no=1
[2] http://www.technote.co.kr/php/technote1/data/board/notice/file_in_body/1/euckr__3_plugin_twindow.zip
[3] http://www.technote.co.kr/php/technote1/data/board/notice/file_in_body/1/utf8__3_plugin_twindow.zip
이전 글 [MS 보안업데이트]2008년 10월 MS 월간 보안업데이트 권고

2008. 10. 15
다음 글 [MS 보안업데이트]2008년 9월 MS 월간 보안업데이트 권고

2008. 09. 29

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기