2020-12-03 03:40 (목)
그누보드, DB정보 탈취 가능 SQL인젝션 취약점 주의
상태바
그누보드, DB정보 탈취 가능 SQL인젝션 취약점 주의
  • 길민권
  • 승인 2015.05.01 02:20
이 기사를 공유합니다

최신 보안패치 적용, 게시판 콘텐츠 점검 등 사용자 주의 필요
유명 공개 웹 애플리케이션 게시판인 그누보드에서 DB정보 탈취가 가능한 취약점이 발견돼 사용자의 주의가 요구된다.
 
정보보안 전문기업 윈스(대표 김대연)는 30일, 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard) 4.37.26 이하 버전에서 DB 정보 탈취가 가능한 Blind SQL injection 취약점을 취약점’을 발견했다고 밝혔다.


 실제 관리자 권한 탈취 화면

이 취약점은 페이지의 파라미터 값을 필터링 없이 쿼리문에 그대로 전달될 경우 발생한다. 공격자는 파라미터 값을 조작하여 DB내의 모든 정보를 획득 또는 삭제 할 수 있으며, DB 시스템내에 악성 파일을 생성하거나 시스템 조작이 가능하다.
 
윈스의 침해사고대응센터인 WSEC은 “해당 취약점에 대한 보안 패치가 적용 된 그누보드를 사용하거나, search_sort 파라미터에 필터링 정책을 적용하는 방법으로 해결이 가능하다”라며 “자사 웹 방화벽인 SNIPER WAF를 이용중인 기업 및 기관은 이미 XSS 공격에 대한 보안 정책이 적용되어 있으므로 공격에 대응할 수 있다”고 설명했다.
 
회사측은 그누보드 배포 사이트인 에스아이알소프트에 관련 정보를 제공했다고 밝혔다.
 
윈스 침해사고대응센터 손동식 센터장은 “그누보드와 같은 공개용 게시판은 불특정 다수의 인원이 사용하는 만큼 취약점에 노출될 경우 정보 유출의 위험이 크기 때문에 게시판 개발자는 소스코드 안전진단이나 보안 코딩 가이드를 이용해 취약점을 사전 예방하는 것이 중요하다.” 라고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com