예1) 제로보드 상단에 불러올 파일을 http://홈주소/aaa/bbb.htm 으로 지정했다면 ../aaa/bbb.htm 으로 변경
예2) 제로보드 상단에 불러올 파일을 http://홈주소/head.htm 으로 지정했다면 ../head.htm 으로 변경
예3) public_html/aaa.htm 파일에서 include "http://홈주소/bbb/bbb.htm" 형식으로 작업이 되었다면
include "./bbb/bbb.htm" 혹은 include "/home1/아이디/public_html/bbb/bbb.htm"
allow_url_fopen을 off 시키면 웹경로 형식(http://....)으로는 인클루드가 되지 않는다.
또한 웹개발자들은 php 보드 사용시 이 옵션과 관련된 보안 인식을 해야 하며,
공개 보드를 이용할 경우 해당 보드 제공 사이트에서 반드시 보안 패치를 받아
적용해야한다.
====== 한국정보보호 진흥원 권고 사항
특히, 국내 홈페이지 게시판관련 프로그램인 '제로보드, 그누보드, KorWeblog, phpBB' 프로그램을 사용하시는 업체 및 기관에서는 가능한 빨리 보안패치를 적용하여 주시기 바랍니다.
o 웹변조 관련 언론보도 URL http://www.etnews.co.kr/news/detail.html?id=200412310144 http://www.inews24.com/php/news_view.php?q_serial=134690&g_menu=020200
□ 해당시스템 웹서비스 및 게시판 구동 프로그램으로서 o 제로보드 4.1 pl5 이전버전 o 그누보드 3.41 이전버전 o phpBB 2.0.11 이전버전 o KorWeblog 1.6.2-cvs 및 이전버전
□ 영향 o 원격의 해커가 웹서버 시스템 내 임의의 파일 읽기, 악성프로그램 주입 및 실행 등이 가능하며 해당 취약점을 이용한 홈페이지 대량 변조 등을 발생시킬 수 있음
□ 설명 o 최근 PHP 및 게시판 구동 프로그램 취약점 등을 이용한 대량 홈페이지 변조가 발생함에 따라 웹서버관리자 및 홈페이지 운영자는 관련 프로그램의 신속한 업그레이드로 취약점 들을 패치하는 것이 필요함
□ 해결책 o 웹서버 및 게시판을 최신버전으로 업그레이드 o 자세한 내용은 아래 참조사이트를 참조
□ 참조사이트
o 제로보드 최신버전(4.1 pl5) 업그레이드 (http://www.nzeo.com/bbs/zboard.php?id=main_notice&no=176) o 그누보드 최신버전(3.41) 업그레이드 (http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910) o phpBB 최신버전(2.0.11) 업그레이드 (http://www.phpbb.com/downloads.php) o KorWeblog 취약점 해결방안 - 설치완료 후 불필요한 설치파일 삭제 http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&ati... o 태크노트 취약점 해결방안 - Lib-5.cgi 및 print.cgi에 소스 수정 http://www.technote.co.kr/cgi-sys/cgiwrap/cgitour/techtop/technote2/read.cgi?board=notice
* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.