홈 > 고객센터 > 알립니다 > IT뉴스
알립니다
 공지사항
 서버 작업 안내
 IT 뉴스
 도메인 뉴스
 나야보드
서비스 매뉴얼
1:1 문의
전화상담예약
자주 묻는 질문
미확인 입금자 안내
호스팅 안내 카툰
[보안공지] 테크노트7 file inclusion 취약점 피해주의 0     4054
2008/10/21 09:34:56
 

□ 개요 

  o 국내 홈페이지 및 웹 호스팅 환경에서 많이 이용되고 있는 테크노트 7에 file inclusion 취약점

     이 발견되어, 대규모 홈페이지 변조 등의 해킹사고에 대한 사전주의 필요
   ※ 테크노트7은 홈페이지 제작에 필요한 다양한 CGI(Common Gateway Interface) 기능을 
      구현한 프로그램이며, 무료버젼과 유료버젼이 있음


□ 취약 대상 시스템 

  o 2008년 9월 현재까지 발표된 최신 버전의 테크노트 7 
   - TECHNOTE 7.2


□ 취약점 세부 내용 

  o 테크노트 7의 구성 파일 중 일부 파일에서 외부의 URL을 내부 파일과 동일하게
    참조할 수 있는 문제로 인해 외부에 설치된 임의의 코드를 이용해 시스템 내부 명령의 실행이 
    가능함


□ 위험성  

  o 공격에 성공할 경우, 웹 서버의 실행권한을 통하여 파일생성 및 백도어 설치, 홈페이지 변조 

     등이 가능해 짐

 
□ 해결 방안 

  o php의 설정파일인 php.ini를 수정하거나 apache 설정파일인  httpd.conf를 수정하여 예방 조

     치함

     가. php.ini 변경시  
       1. php.ini의 allow_url_fopen의 설정을 off로 변경 
          allow_url_fopen = off

       2. 설정변경 후, 웹 서버 재구동함
          apachectl restart

     나. httpd.conf 변경시 
       1. httpd.conf 에서 allow_url_fopen의 설정을 off로 변경
           php_admin_flag allow_url_fopen off -> Apache 설정파일에서만 설정 가능

       2. 설정변경 후, 웹 서버 재구동함
           apachectl restart

  o 보안 취약점이 존재하는 소스를 아래와 같이 수정을 하거나, 보안패치를 직접 다운로드 받아
     적용해야 함

     가. 소스파일 변경시
       1. 다음 아래 [수정해야 할 파일]들의 소스 첫줄에 아래와 같은 명령을 추가함
         [수정해야 할 파일] 
         skin_shop/standard/3_plugin_twindow/twindow_cart.php
         skin_shop/standard/3_plugin_twindow/twindow_notice.php
         skin_shop/standard/3_plugin_twindow/twindow_order_cancel.php
         skin_shop/standard/3_plugin_twindow/twindow_pass.php
         skin_shop/standard/3_plugin_twindow/twindow_popupgoods.php
         skin_shop/standard/3_plugin_twindow/twindow_search_rank.php
         skin_shop/standard/3_plugin_twindow/twindow_wish.php

    나. 보안패치 적용시
       1. 보안 패치를 다운로드 후, 압축 해제
          euckr__3_plugin_twindow.zip (euc-kr)   참고사이트 [2]
          utf8__3_plugin_twindow.zip (utf-8)       참고사이트 [3]

       2. 압축을 해제한 후 생성된 3_plugin_twindow 디렉토리를 테크노트가 설치된 
          디렉 토리로 이동하여 해당 디렉토리를 교체한다.
          technote/skin_shop/standard/3_plugin_twindow/


□ 참고사이트

[1] http://www.technote.co.kr/php/technote1/board.php?board=patch&command=body&no=1
[2] http://www.technote.co.kr/php/technote1/data/board/notice/file_in_body/1/euckr__3_plugin_twindow.zip
[3] http://www.technote.co.kr/php/technote1/data/board/notice/file_in_body/1/utf8__3_plugin_twindow.zip

웹사이트 보안수준 검사해드려요 2009-04-22
[보안공지] DDoS 트래픽 발생 악성코드 감염주의 2007-09-17
내선안내(새창) 메일보내기 cs@nayana.com