check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

콘텐츠관리시스템 AneCMS, 제로데이 취약점 발견!

i2sec 박종환, 서버 주요 설정파일 열람 가능한 LFI취약점 공개

길민권 mkgil@dailysecu.com 2012년 03월 14일 수요일
해외 콘텐츠관리시스템(이하 CMS)중 인지도가 높은 ‘AneCMS’에서 취약점이 발견되어 사용자들에게 주의가 요구된다.
 
발견 취약점은 Local File Inclusion(이하 LFI)으로 서버내의 주요 설정 파일을 열람, 실행 가능하기때문에 공격자로 하여금 정보 제공 및 추가적 공격의 원인이 될 수 있는 상황이다.
 
i2sec 박종환씨는 “해당 취약점은 개발자의 부주의 혹은 사용자 입력값 검증이 부적절하게 이루어질 경우 발생할 수 있다”고 경고했다.  

 
 
보안 방안으로는 우선적으로 필터링을 들 수 있다. 해당페이지에 지정되어있는 경로내의 파일 이외에는 참조할 필요가 없기 때문에 상위명령어(../)는 필터링 처리 해준다.
 
$p=str_replace(“.”,””,$p);
$p=str_replace(“/”,””,$p);
이로써 의도적으로 URL쿼리의 값을 조작하는 행위를 방지 가능하다.
 
또한 취약한 페이지를 이용해 열람 가능한 각종 확장자(txt, ini등)파일의 권한을 부여해 공격자로 하여금 읽을 수 없도록 하는 방법이 있다.
 
마지막으로 페이지내의 취약한 GET방식을 사용해 공격자가 URL쿼리를 조작하는 상황을 미연에 방지하기 위해 개발자는 투철한 보안의식을 가지고 코딩을 하는 수고가 필요하다.
 
 
이 취약점은 글로벌 최신 해킹기법 등재 사이트인 Exploit-DB에 등록되었으며 보고서를 전달받은 AneCMS 개발자는 보안성이 향상된 새로운 버전을 개발중이라고 밝혔다.
 
취약점이 발견된 버전의 사용자는 상위 버전의 CMS가 개발되기 전까지는 주의가 요구된다.
 
이번 취약점을 발표한 국제정보보안교육센터(I2sec) 박종환씨는 “약간의 편의와 부주의가 보안에큰 악영향을 가져올 수 있다. 특히 정부기관이나 기업들은 구성원 모두가 철저한 보안의식이 필요하다”고 강조했다.
[데일리시큐=길민권 기자]
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록