======================
KA-2002-96: CrazyWWWBoard qDecoder BufferOverflow Vulnerability
----------------------

최초작성일 : 2002-12-30
갱  신  일 :
출      처 : KISA/CERTCC-KR
작  성  자 : 강준구(jgkang@certcc.or.kr)

-- 제목 --------------
CrazyWWWBoard의 qDecoder 버퍼오버플로 취약점

-- 해당 시스템 --------
CrazyWWWBoard 모든 무료배포판

--영향-----------------
Apache user 권한으로(일반적으로 nobody) 임의의 명령어를 실행시킬 수 있다.  

-- 설명---------------
웹서버에서 게시판 프로그램으로 흔히 쓰는 제품이 CrazyWWWBoard이다. 현재 자신의 게시판에서
오른쪽 마우스로 클릭하여 소스보기를 하게되면 CrazyWWWBoard게시판의 버전을 확인할 수 있다.
CrazyWWWBoard의 qDecoder는 자료를 업로드할 수 있는 모듈이다.
공격자는 이 모듈에 버퍼오버플로를 발생시켜 관리자도 모르게 포르노와 같은 불법적 자료를
업로드할 수 있다. 또한, 공격자는 시스템의 정보를 확인할 수 있고, 시스템에 대한 임의의
명령어 수행을 가능하게 한다. CrazyWWWBoard는 상용배포판과 무료배포판이 있다.
현재 유닉스계열 운영체제에서 모든 무료배포판 버전에 버퍼오버플로 취약점이 존재한다.
CERTCC-KR에서는 상용버전 CrazyWWWBoard 2000 P5(패치버전)를 테스트해본 결과
qDecoder의 버퍼오버플로 취약점은 발견되지 않았다.

-- 해결책---------------
1.현재 무료배포판은 패치를 제공하는 것이 아니므로 패치를 제공할 때까지 당분간 서비스를
  중단할 것을 권장한다. 지속적이 게시판 서비스를 원할 경우 취약한 버전이외의 제품을
  사용하도록 권장한다.

2.불법 자료가 업로드된 사실을 오랜기간동안 관리자는 모르고 있는 경우가 많으므로,
  게시판 디렉토리를 확인하여 불법적 자료가 존재하는지 확인하는 것이 중요하다.

포르노와 같은 불법적 자료들이 업로드되는 디렉토리확인은 다음과 같다.

1. CrazyWWWBoard 3.0.1일 경우
/크레이지 보드가 설치된 디렉토리/data/"게시판이름"/

2. CrazyWWWBoard 3.0.1 이후 버전
/Web Server Document Root/cwb-data/data/"게시판이름"/
만약 Web Server Document Root를 모를경우 httpd.conf 파일에서 "DocumentRoot"를 찾아서
위치를 확인하면 된다.

3. find 명령어를 사용
예 : find /-name "cwb-data"


------- 참조 사이트 --------------------------
http://www.certcc.or.kr/
http://www.crazywwwboard.com
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118)  Email: cert@certcc.or.kr
==============================================================