안녕하세요 준야입니다.

원격침입과 도스공격이 가능한 PHP 취약점 권고문입니다. 현재 PHP를 쓰고 있는 웹서버가 공격을
당하고 있으며 폭넓은 스캔현상도 보입니다. 사용자분들의 각별한 주의를 요합니다.

^^ 수고하십시요.

======================
KA-2002-70: Remote Compromise and Denial of Service Vulnerability in PHP

----------------------

최초작성일 : 2002-07-23
갱  신  일 :
출      처 : Internet Security Systems Security Alert
작  성  자 : 강준구

-- 제목 --------------
원격침입과 도스공격이 가능한 PHP 취약점

-- 해당 시스템 --------
PHP version 4.2.0
PHP version 4.2.1

-- 설명----------------
이 권고문은 KA-2002-023 PHP fileupload 다중 취약점 권고문의 연장선이다.
최근에 취약한 버전의 PHP를 설치한 제품은 실질적으로 스캔을 받거나 침입을
당했다.
PHP 버전에 대한 정보는 웹서버의 배너광고에서 사실상 확인할 수 있는데,
이러한
유용한 정보는 원격 공격자들로 하여금 IP address를 폭넓게 스캔하여
잠정적으로 취약한
서버들의 위치를 확인하는 것을 도와준다.

취약한 서버들은 파일 업로드를 핸들링하는 PHP 코드에 취약점이 존재한다.
공격자는 임의의
조작된 POST 요구를 웹서버에 전달함으로써, PHP가 사용하는 내부 데이터
구조를 파괴할 수 있다.

--영향-----------------
이 취약점은 로컬과 원격 모두 공격이 가능하다. 웹서버의 권한으로 임의의
명령어를
실행하거나 도스 공격을 야기할 수 있다.

-- 해결책---------------
1. POST 요구 블러킹
PHP 환경이 클라이언트로부터 HTTP POST 입력에 대하여 응답을 하지 않으면,
POST 요구를 블럭킹
하는것이 가능하다. 다음의 예가 블러킹하는 모습을 보여준다.

다음의 스트링을 주 환경설정 파일 또는 Top Level의 .htaccess파일에
덧붙여라.

      ?lt;Limit POST>
          Order deny,allow
          Deny from all
       </Limit>

2. 패치을 하라
벤더별로 패치정보를 얻어 패치를 하라.

3. 벤더들에게서 패치정보가 없다면 PHP 버전을 업그레이드하라.
PHP version 4.2.2 는 이 취약점에 대한 업그레이드버전이다.
다운로드 위치 : http://www.php.net/downloads.php

------- 참조 사이트 --------------------------
http://xforce.iss.net
http://www.iss.net/xforce/alerts
http://security.e-matters.de/advisories/022002.html
http://www.php.net/downloads.php
http://www.securityspace.com/s_survey/data/man.200206/apachemods.html
http://www.netcraft.com
http://www.iss.net/security_center/static/9635.php
--------------------------------------------