Zeroboard(제로보드) 보안패치와 메인화면 백지화 문제

 
반응형

제로보드에 새로운 보안패치가 2009년 9월 22일자로 나왔습니다.
http://www.xpressengine.com/zb4_security/18319857

설문 스킨을 사용하지 않는다면 _head.php 파일만 수정을 하면 되는데,
문제는 head.php 파일을 보안패치 적용을 하고 나면
게시판은 정상적으로 작동을 하는데,
메인화면이 하얗게 백지처럼 아무것도 안나온다는...-_-;;

호스팅업체쪽에 문제가 있나 싶어서 문의를 했더니 답변이 왔는데,

확인해 보니 outlogin.php와 _head.php 에서 오류가 생깁니다.
outlogin.php 에서 제로보드 경로를 제대로 잡지 못해서
생기는 현상입니다.
실제로 제로보드 경로가 /home/계정아이디/public_html/project/bbs/ 로
잡혀야 하나, zb_path 가 ./ 로 경로가 변경이 되면서 홈페이지가 정상적으로 나오지 않는 것입니다.
경로 부분을 체크를 해 보셔야 할 것 같습니다

저만의 문제는 아니고, 호스팅을 받는 다른분들도 문제가 좀 있는듯 하더군요...

if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^

그리고 참고로 앞으로는 제로보드4 배포도 중지가 되어서 이제는 역사의 뒤안길로 사라지는듯 하네요...-_-;;

취약점 안내

  • 일자 : 2009. 09. 22
  • 내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
  • 대상 : 제로보드4 모든 버전
  • 비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점

취약점 보완

  1. 패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
  2. 패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
  3. 직접 수정
    1. 대상 파일
      1. _head.php
      2. skin/zero_vote/ask_password.php
      3. skin/zero_vote/error.php
      4. skin/zero_vote/login.php
      5. skin/zero_vote/setup.php
    2. 수정 내용
      1. _head.php
        [수정전]
        if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./"; 
        [수정후]
        if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
      2. skin/zero_vote/ 파일들
        [수정전]
        if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
        [수정후]
        if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";

이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.

늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.
위 방법이 원래부터 문제인지는 모르겠지만, 제로보드의 취약점문제로
얼마전 iframe이 각종 소스에 삽입이 되는데, 위의 패치후에 아래의 글을 참고하셔야 할듯 합니다.

제로보드4, iframe 테그로 h.nexprice.com 삽입되는 문제점과 해결책
 
반응형