Zeroboard(제로보드) 보안패치와 메인화면 백지화 문제

제로보드에 새로운 보안패치가 2009년 9월 22일자로 나왔습니다.
http://www.xpressengine.com/zb4_security/18319857

설문 스킨을 사용하지 않는다면 _head.php 파일만 수정을 하면 되는데,
문제는 head.php 파일을 보안패치 적용을 하고 나면
게시판은 정상적으로 작동을 하는데,
메인화면이 하얗게 백지처럼 아무것도 안나온다는...-_-;;

호스팅업체쪽에 문제가 있나 싶어서 문의를 했더니 답변이 왔는데,

확인해 보니 outlogin.php와 _head.php 에서 오류가 생깁니다.
outlogin.php 에서 제로보드 경로를 제대로 잡지 못해서
생기는 현상입니다.
실제로 제로보드 경로가 /home/계정아이디/public_html/project/bbs/ 로
잡혀야 하나, zb_path 가 ./ 로 경로가 변경이 되면서 홈페이지가 정상적으로 나오지 않는 것입니다.
경로 부분을 체크를 해 보셔야 할 것 같습니다

저만의 문제는 아니고, 호스팅을 받는 다른분들도 문제가 좀 있는듯 하더군요...

if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^

그리고 참고로 앞으로는 제로보드4 배포도 중지가 되어서 이제는 역사의 뒤안길로 사라지는듯 하네요...-_-;;

취약점 안내

• 일자 : 2009. 09. 22
• 내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
• 대상 : 제로보드4 모든 버전
• 비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점

취약점 보완

1. 패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
2. 패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
3. 직접 수정
   
   1. 대상 파일
      
      1. _head.php
      2. skin/zero_vote/ask_password.php
      3. skin/zero_vote/error.php
      4. skin/zero_vote/login.php
      5. skin/zero_vote/setup.php
   2. 수정 내용
      1. _head.php
         [수정전]
         if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./"; 
         [수정후]
         if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
      2. skin/zero_vote/ 파일들
         [수정전]
         if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
         [수정후]
         if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";

이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.

그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.

늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.

위 방법이 원래부터 문제인지는 모르겠지만, 제로보드의 취약점문제로
얼마전 iframe이 각종 소스에 삽입이 되는데, 위의 패치후에 아래의 글을 참고하셔야 할듯 합니다.

제로보드4, iframe 테그로 h.nexprice.com 삽입되는 문제점과 해결책

 

반응형

저작자표시 비영리 변경금지

 

Danbis.net 글목록 Danbis.net 질문/방명록 Danbis.net 구독하기 단비스 유튜브 채널 사용설명서 Youtube Danbis.net Twiter Danbis.net Facebook Danbis.net Google+

      

Trackback : Comment

이 글의 고유주소는 http://danbis.net/6769 http://danbis.net/6769 입니다.