Blog
공지 제로보드4 보안 취약점 패치 다시 올렸습니다.
2007.11.07 17:10
지난 11월 1일 패치한 원격 코드 실행 관련된 부분을 우회하여 다시 침투할 수 있는 취약점을 "패스코리아넷의 빈경윤님"께서 알려주셔서 바로 패치를 하였습니다.
제로보드4 원격 실행 보안 취약점 패치 #2
제로보드4를 사용하시는 분들은 위 링크를 보시고 보안패치를 하여 주시면 감사하겠습니다.
댓글 19
-
jirou
2007.11.07 18:50
-
소마세월
2007.11.07 19:18
땡스 제로님~
몽땅 패치 했음. -
khn8356
2007.11.07 19:25
-
한윤도
2007.11.07 19:51
4등~ -
에메랄드
2007.11.07 19:59
수고하시네요 ^^;
-
이진수닷넷
2007.11.08 03:18
감사합니다. -
64비트
2007.11.08 09:53
감사합니다^^ 패치 했어요~
-
후지모토요시
2007.11.09 18:45
고맙습니다^^~
-
php,cgi어렵네
2007.11.09 21:43
감사합니다 -
ㄴrㄹr
2007.11.11 01:36
먼저 올리셨던것은 반영 안해도 되는건가요??
아니면 두개 다 해야 하는건가요?? -
내만지
2007.11.11 09:44
세션 지우기는 어떻게 하나요??
-
이재희955
2007.11.11 20:53
아~~~
패치하고 나니 '눈사람 현재 접속자'가 오류를 나타내는군요. -
구라박사
2007.11.12 08:40
2개 파일을 알FPT로 덮어쓰기 했습니다.
멤버들 아이콘이 사라졌습니다. 대신 눈사람 모양으로.... 이거 이상타 우짜몬 좋습니까? -
BAD
2007.11.14 17:16
?.?11
-
소피리
2007.11.15 23:24
패치하고 감사합니다. 아가가 많이 컷군요. -
제로메니아
2007.11.27 00:42
-
dvsaf
2007.11.29 15:32
-
111
2007.12.06 08:13
<script language="javascript" type="text/javascript" src="icon/zboard.gif"></script>
보안 취약점 문제가 또 발생하였습니다.
보안패치는 당연히 적용된 상태이나. 다른 부분에 또 취약점이 있는것 같습니다.
해결책을 제시해주세요 -
곰두리
2007.12.16 00:44
관리자님, 제로보드로 조금만 사이트를 운영중인 사람입니다.
위 패치 후에 나의쪽지함에 일부 문제가 발생합니다.
즉, 로그인 후 회원이름을 클릭하면 새창에 '나의 쪽지함'이 나타나는데
이때, Inbox, Sent, UserList/Write 세개의 메뉴중에서
마지막 User List/Write 링크를 클릭하면 SQL관련된 아래와 같은 오류가 나옵니다.
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ');/*'' at line 1
(특히: lib.php파일에서===> zWriteFile($filename, "<? die('Access Denied');/*".$_realNowConnector."*/?>"); )
오류내용이 패치와 관련된거 같아 패치를 살펴봤는데 대부분이 아래와 같이
수정 : zWriteFile($filename, "<? die('Access Denied');/*".$_realNowConnector."*/?>");
die('Access Denied'); 코드를 추가하는 것이더군요.코드를 살펴본 후, php는 잘 알지 못하지만 일반적인 프로그래밍 언어가 "" 기호 안에서 ' 을 사용하고
할때 \를 앞에 붙여줘야 하는 것으로 알고 있기에,
위 코드를 아래와 같이 수정하였습니다. 즉 ' 앞에 \를 붙여 준것입니다.
그랫더니 UserList가 제대로 나오더군요..
수정 : zWriteFile($filename, "<? die(\'Access Denied\');/*".$_realNowConnector."*/?>");
혹, 저와 같은 오류가 나오시는 분은 위와 같이 수정해 보심이 어떨까 합니다.
참고로, 전 그동안 제로보드의 패치는 모두 적용하진 않았고, 일부 코드는 스킨이나 기타 코드 추가로 인해
부분 부분 수정이 되어 왔습니다.
제목 | 최종 글 | 날짜 |
---|---|---|
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내 | 2019.10.23 | |
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] | 2020.08.16 by 천재 | 2017.11.27 |
XE 1.4.4.3 긴급 보안패치 [17] | 2012.08.16 by vibram five fingers | 2010.12.20 |
XE 1.4.4.4 긴급 보안패치 [15] | 2012.08.16 by vibram five fingers | 2011.01.03 |
공식 사이트 개편 안내 [32] | 2012.08.16 by vibram five fingers | 2011.01.06 |
DB 장비 장애로 불편 드려 죄송합니다. [9] | 2012.08.16 by vibram five fingers | 2011.01.07 |
서비스 정상화 안내 [13] | 2012.08.16 by vibram five fingers | 2011.01.10 |
XE 공식 웹사이트 안정화 안내 [1] | 2012.08.16 by vibram five fingers | 2011.01.17 |
Microsoft - 웹매트릭스 런칭 행사 안내 [4] | 2012.08.16 by vibram five fingers | 2011.01.18 |
공모전 수상작을 발표합니다! [21] | 2012.08.16 by vibram five fingers | 2011.02.21 |
공식사이트 점검 안내 [2] | 2012.08.16 by vibram five fingers | 2011.03.14 |
3/17 현재 공식 사이트 부분적 장애. [2] | 2020.03.14 by vibram five fingers | 2011.03.17 |
3/17~18 공식 사이트 장애 복구. [2] | 2012.08.16 by vibram five fingers | 2011.03.18 |
XE - SVN 배포 절차 변경. [3] | 2020.03.14 by vibram five fingers | 2011.03.24 |
공식 사이트 점검 안내 [4] | 2012.08.16 by vibram five fingers | 2011.03.28 |
XE Core 1.4.5를 배포합니다. [36] | 2012.08.16 by vibram five fingers | 2011.03.31 |
5월 16일 XEmarket 오픈베타 런칭 [44] | 2012.08.16 by vibram shoes | 2011.04.15 |
XE 프로젝트 테스터 그룹을 모집합니다. [18] | 2012.08.16 by vibram five fingers | 2011.04.20 |
XE 쇼케이스 게시판 운영자를 모집합니다. [1] | 2012.08.16 by vibram shoes | 2011.04.21 |
XE 1.4.5.7 긴급 보안패치 [2] | 2012.08.16 by vibram shoes | 2011.05.02 |
XE 프로젝트 호스팅 이전 및 종료 공지 [25] [1] | 2020.03.14 by vibram shoes | 2011.05.13 |
서버 시스템 문제로 인한 사이트 이용 안내 [29] | 2012.08.16 by vibram five fingers | 2011.08.01 |
1등~