웹마스터 팁

======================
KA-2002-96: CrazyWWWBoard qDecoder BufferOverflow Vulnerability
----------------------

최초작성일 : 2002-12-30
갱  신  일 :
출      처 : KISA/CERTCC-KR
작  성  자 : 강준구(jgkang@certcc.or.kr)

-- 제목 --------------
CrazyWWWBoard의 qDecoder 버퍼오버플로 취약점

-- 해당 시스템 --------
CrazyWWWBoard 모든 무료배포판

--영향-----------------
Apache user 권한으로(일반적으로 nobody) 임의의 명령어를 실행시킬 수 있다.  

-- 설명---------------
웹서버에서 게시판 프로그램으로 흔히 쓰는 제품이 CrazyWWWBoard이다. 현재 자신의 게시판에서
오른쪽 마우스로 클릭하여 소스보기를 하게되면 CrazyWWWBoard게시판의 버전을 확인할 수 있다.
CrazyWWWBoard의 qDecoder는 자료를 업로드할 수 있는 모듈이다.
공격자는 이 모듈에 버퍼오버플로를 발생시켜 관리자도 모르게 포르노와 같은 불법적 자료를
업로드할 수 있다. 또한, 공격자는 시스템의 정보를 확인할 수 있고, 시스템에 대한 임의의
명령어 수행을 가능하게 한다. CrazyWWWBoard는 상용배포판과 무료배포판이 있다.
현재 유닉스계열 운영체제에서 모든 무료배포판 버전에 버퍼오버플로 취약점이 존재한다.
CERTCC-KR에서는 상용버전 CrazyWWWBoard 2000 P5(패치버전)를 테스트해본 결과
qDecoder의 버퍼오버플로 취약점은 발견되지 않았다.

-- 해결책---------------
1.현재 무료배포판은 패치를 제공하는 것이 아니므로 패치를 제공할 때까지 당분간 서비스를
  중단할 것을 권장한다. 지속적이 게시판 서비스를 원할 경우 취약한 버전이외의 제품을
  사용하도록 권장한다.

2.불법 자료가 업로드된 사실을 오랜기간동안 관리자는 모르고 있는 경우가 많으므로,
  게시판 디렉토리를 확인하여 불법적 자료가 존재하는지 확인하는 것이 중요하다.

포르노와 같은 불법적 자료들이 업로드되는 디렉토리확인은 다음과 같다.

1. CrazyWWWBoard 3.0.1일 경우
/크레이지 보드가 설치된 디렉토리/data/"게시판이름"/

2. CrazyWWWBoard 3.0.1 이후 버전
/Web Server Document Root/cwb-data/data/"게시판이름"/
만약 Web Server Document Root를 모를경우 httpd.conf 파일에서 "DocumentRoot"를 찾아서
위치를 확인하면 된다.

3. find 명령어를 사용
예 : find /-name "cwb-data"


------- 참조 사이트 --------------------------
http://www.certcc.or.kr/
http://www.crazywwwboard.com
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118)  Email: cert@certcc.or.kr
==============================================================


제목 글쓴이 날짜
[JavaScript] 자바스크립트 버튼에 링크 걸기 SM 2002.02.24
[JavaScript] 마우스 커스 이동만으로 배경색상을 바꾸어보자 SM 2002.02.24
[JavaScript] 웹문서에 주소창 넣기 스크립트 [4] SM 2002.02.24
[JavaScript] 창을 열면 인사하는 간단한 스크립트 SM 2002.02.24
[JavaScript] 폼 버튼을 클릭하면 경고 메세지 보내기 SM 2002.02.24
자바스크립트로 변수처리하기! 두기두바 2002.02.22
폼 항목중 입력하지 않을때 경고창 띄우기 Topy 2002.02.22
▩마우스 오버시 그림이 진해지는 스크립 ▩윤미 2002.02.21
복사 및 오른쪽 버튼 사용금지 스크립트 Jacylee 2002.02.21
자바 스크립트 인코딩 된것 디코딩 하는 스크립트 [6] 양창민 2002.02.02
[JavaScript] 익스플로러,네츠케이프 모두에서 iframe 과 비슷하게 해보자! [3] 티르 2002.01.24
textarea 입력받는 글자수 제한하는 스크립트 [5] 오기 2002.01.17
연합뉴스 속보 홈에 다는 코드입니다. [1] 이환 2001.12.28
팝업창 다시 안뜨게 하기 [9] Bassfeel 2001.12.03
페이지마다 타이틀 변경하기 [3] WOWpc 2001.10.10
오늘 날짜 보여주기 스크립트 [3] 정후니 2001.08.31
주소치면 이동하는 스크립트 gain.ne.kg 2001.07.27
DHTM 을 이용한 마우스 오른쪽의 메뉴 만들기.. [11] 허진규 2001.03.30
[Tip] 페이지 이동중이라고 표시해보자~ ^_^ [10] BiHon 2001.03.28
환상적인 무지개 빛 링크 자바스크립입니다. 마우스만 대면 그냥... [8] 은하수w 2001.03.24