마루웹호스팅 :: 웹호스팅, 도메인 등록, 쇼핑몰 호스팅, 이미지 링크, 서버 호스팅, 코로케이션, 서버관리툴, 리셀러, 홈페이지 제작, 무료호스팅 제공
873201-04-154779
 
873201-04-154782
입금확인신청 신청현황보기
1:1 문의

공지사항



제목
  제로보드 소스 변조에 대한 안내 말씀.
이름
    작성일 : 2010-12-21 11:26:55  조회 : 23446 

안녕하세요. 마루인터넷입니다.

12월 18일 이후로 제로보드 취약성으로 인한 파일 변조가 발생하고 있습니다.

현재까지 발생한 경우를 보면 제로보드의 버전이 pl8 이하인 경우에
발생하고 있습니다. 제로보드의 버전은 bbs 폴더의 lib.php 파일에서
확인하실 수 있습니다.
_________________________________________________________________________

원인 :  제로보드 4 게시판의 취약성을 이용한 파일 변조

증상  :   1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성

            2. 계정내 확장자가 html, php  파일들에 frame src="악성코드 배포지 URL 삽입 (예: http://h.nexprice.com/css/x.htm)

                * 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다.
                * 계정내 파일들에 iframe 삽입은 없을 수도 있습니다.
          
            3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의  header 또는
                header_url 에 위 2번과 동일한 악성코드 배포지 URL 생성.

2010년 12월 22일 RFI 취약점 보안 패치

1. bbs/icon 폴더에 생성된 group_qazwsxedc.jpg, visitLog.php 파일 삭제
2. html, php 파일에 삽입된 iframe 소스 삭제
3. 관리자 페이지를 통해 qazwsxedc 그룹 삭제
4. 제로보드설치폴더/_head.php 파일의 13번째 줄 소스 변경(공식 보안 패치 페이지 참고)
5. 제로보드설치폴더/skin/zero_vote/ask_password.php / error.php / login.php 파일의 2번째 줄 소스 각각 변경(공식 보안 패치 페이지 참고)

※ 제로보드 공식 보안 패치
http://www.xpressengine.com/zb4_security/19346851

제로보드4 pl9 버전에서 RFI (원격파일 인클루드) 취약점이 발견되었습니다.

장경칩님께서 제보해주신 내용입니다.

_head.php 파일과 skin/zero_vote/*.php 파일에 대해 아래 내용으로 코드 수정을 통한 패치를 권드립니다.

_head.php

[수정전]

_head.php
view sourceprint?13.if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

[수정후]

_head.php: 문자가 $_zb_path에 포함되지 않도록 수정
view sourceprint?13.if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)||eregi(":",$_zb_path)) $_zb_path ="./";


skin/zero_vote/ 디렉토리의 아래에 해당되는 .php 파일

        - ask_password.php

        - error.php

        - login.php

[수정전]

./skin/zero_vote/ask_password.php, error.php, login.php
view sourceprint?2.if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";

[수정후]

./skin/zero_vote/ask_password.php, error.php, login.php
view sourceprint?2.if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)||eregi(":",$dir)) $dir ="./";

--------------------------------------------------------------------------------------------
  
_
위 내용의 조치는 근본적인 조치는 아니며 악성코드 소스 삽입에 대한 대응 조치로
제로보드 취약성이 해결되지 않으면 반복될 수 있습니다. 그러나 제로보드4 게시판의
경우에는 2009.09.29자로 제로보드4 공식 배포가 중지되었기 때문에 해결이 되지 않습니다.

위와 같은 점을 고려하여 제로보드4 게시판 사용자께서는 xe로의 업그레이드나
지속적으로 보안 패치가 가능한 게시판으로의 변경을 고려하시기 바랍니다.




제로보드4 원격 실행 보안 취약점 패치 - 심각한 버그
IE10 에서 결제가 되지 않은 경우 조치사항