Zeroboard(제로보드) 보안패치와 메인화면 백지화 문제
[자료 iN]
2010/03/08 09:01
http://www.xpressengine.com/zb4_security/18319857
설문 스킨을 사용하지 않는다면 _head.php 파일만 수정을 하면 되는데,
문제는 head.php 파일을 보안패치 적용을 하고 나면
게시판은 정상적으로 작동을 하는데,
메인화면이 하얗게 백지처럼 아무것도 안나온다는...-_-;;
호스팅업체쪽에 문제가 있나 싶어서 문의를 했더니 답변이 왔는데,
확인해 보니 outlogin.php와 _head.php 에서 오류가 생깁니다.
outlogin.php 에서 제로보드 경로를 제대로 잡지 못해서
생기는 현상입니다.
실제로 제로보드 경로가 /home/계정아이디/public_html/project/bbs/ 로
잡혀야 하나, zb_path 가 ./ 로 경로가 변경이 되면서 홈페이지가 정상적으로 나오지 않는 것입니다.
경로 부분을 체크를 해 보셔야 할 것 같습니다
outlogin.php 에서 제로보드 경로를 제대로 잡지 못해서
생기는 현상입니다.
실제로 제로보드 경로가 /home/계정아이디/public_html/project/bbs/ 로
잡혀야 하나, zb_path 가 ./ 로 경로가 변경이 되면서 홈페이지가 정상적으로 나오지 않는 것입니다.
경로 부분을 체크를 해 보셔야 할 것 같습니다
저만의 문제는 아니고, 호스팅을 받는 다른분들도 문제가 좀 있는듯 하더군요...
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";
한마디로 _head.php 파일을 수정할때 위의 빨간색 부분을 제로보드가 설치된 경로로 제대로 잡아주면 문제가 없다는....
예를들어 $_zb_path ="/home/계정아이디/public_html/zeroboard/";
이런식으로 자신의 제로보드가 설치된 경로를 적어주면 문제없이 작동을 하네요...^^
그리고 참고로 앞으로는 제로보드4 배포도 중지가 되어서 이제는 역사의 뒤안길로 사라지는듯 하네요...-_-;;
취약점 안내
- 일자 : 2009. 09. 22
- 내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
- 대상 : 제로보드4 모든 버전
- 비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점
취약점 보완
- 패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
- 패치 적용 : 첨부된 zb4.20090922.patch 파일의 patch 명령어를 이용한 적용
- 직접 수정
- 대상 파일
- _head.php
- skin/zero_vote/ask_password.php
- skin/zero_vote/error.php
- skin/zero_vote/login.php
- skin/zero_vote/setup.php
- 수정 내용
- _head.php
[수정전]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)) $_zb_path ="./";
[수정후]
if(eregi(":\/\/",$_zb_path)||eregi("\.\.",$_zb_path)||eregi("^\/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./"; - skin/zero_vote/ 파일들
[수정전]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)) $dir ="./";
[수정후]
if(eregi(":\/\/",$dir)||eregi("\.\.",$dir)||eregi("^\/",$dir)||eregi("data:;",$dir)) $dir ="./";
- _head.php
- 대상 파일
이 취약점은 매우 위험한 취약점으로 꼭 패치를 해주세요.
그리고 가능하다면 제로보드4를 XpressEngine 또는 다른 프로그램으로 전환하는 것을 권장합니다.
늘 취약점과 해결 방법을 알려주시는 한국 인터넷 진흥원(http://www.kisa.or.kr) 에 감사드립니다.
위 방법이 원래부터 문제인지는 모르겠지만, 제로보드의 취약점문제로
얼마전 iframe이 각종 소스에 삽입이 되는데, 위의 패치후에 아래의 글을 참고하셔야 할듯 합니다.
제로보드4, iframe 테그로 h.nexprice.com 삽입되는 문제점과 해결책
얼마전 iframe이 각종 소스에 삽입이 되는데, 위의 패치후에 아래의 글을 참고하셔야 할듯 합니다.
제로보드4, iframe 테그로 h.nexprice.com 삽입되는 문제점과 해결책
'자료 iN' 카테고리의 다른 글
| 컬투쇼 문하성 마지막 출연과 사진공개 (9) | 2010/03/08 |
|---|---|
| 우리동네 소아과 찾기 사이트 (0) | 2010/03/08 |
| SKT 통화품질이 떨어질때 집이나 사무실에 중계기 설치 신청하기 (4) | 2010/03/08 |
| Zeroboard(제로보드) 보안패치와 메인화면 백지화 문제 (16) | 2010/03/08 |
| 고로쇠물 마시는 방법과 고로쇠의 효능 (0) | 2010/03/08 |
| Cosy 코시 COV006 컨퍼런스 마이크 (0) | 2010/03/07 |
| 집에서 두부 만들기 - 수작업 vs 기계 (0) | 2010/03/07 |
| 노트북(Notebook) LCD 액정 고장증상 (6) | 2010/03/07 |
댓글을 달아 주세요
님 덕분에 메인페이지 백지가 제대로 나오네요. 감사드려요.
조금이나마 도움이 되셨다니 다행이네요~
근데 님이라는 표현은 쫌...
감사합니다^^
저도 이 현상때문에 호스팅쪽 문제인듯했지만
호스팅 업체에서 이 주소를 알려주셨더라구요
덕분에 오류 수정했습니다.
정말 감사드려요^^_
뭐 저도 업체측에서 알려준것을 그대로 포스팅한건데,
도움이 되셨다니 다행입니다~
오늘 하루도 즐거운 하루되시길 바랍니다!
정말 감사합니다.
관리하는 페이지들을 패치하고 났더니 다 백지로 나와서 완전 당황했었는데,
오늘 포스팅하신 것을 발견하여 다시 수정하여 모두 정상 패치 성공하였습니다. 감사합니다.
행복한 하루되세요 ^^
도움이 되셨다니 다행입니다~
수고하시고, 오늘 하루도 즐거운 하루되시길 바랍니다!
저도 감사드립니다.
덕분에 잘 해결되었어요~ 헤헤 ^^*
잘 해결되셨다니 다행이네요~
오늘 하루도 즐거운 하루되시길 바랍니다~
저는다른분이만들엇던 홈페이지를 쓰는데 제로보드경로를 어떻게 찾아야하는지 모르겠어요 ㅠㅠ 방법이 없나요?
만든분과연락이안됩니다 ㅠㅠㅠㅠㅠ
경로를 몰라서 패치를 못하신다는건가요?
패치를 했는데, 제로보드 경로를 모른다는건가요?
아니면 FTP에 접근도 못한다는건가요?
뭐 아마 첫번째경우 같은데 FTP로 접속한후에
_foot.php 나 _head.php가 들어있는 디렉토리가 제로보드가 설치된 디렉토리입니다.
만약에 3번째라면 아마 웹호스팅업체에 문의를 해보시면 될듯 합니다.
/bbs 속에 _foot.php _head.php찾았는데 요 이후에 어떻게해야하나요?zboard.php 이것도있구요
패치도 안하신건가요?
패치도 안하셨다면
1. _head.php
2. skin/zero_vote/ask_password.php
3. skin/zero_vote/error.php
4. skin/zero_vote/login.php
5. skin/zero_vote/setup.php
위 파일들을 다운받은후에 설명대로 수정한후에 다시 원위치에 업로드하시면 됩니다.
그리고 패치는했는데, 백지화현상이라면 맨위의 설명대로 _head.php를 수정해주시면 되는데, ftp로 접속하면 정확한 경로는 안보이는 경우가 있으니, 아무래도 정확한 경로명은 telnet로 접속을 해서 알아보거나, 웹호스팅 업체에 정확한 경로를 물어보시면 됩니다.
너무 감사합니다.
저도 이 문제 땜에 진땀을 흘렸는데 감사합니다.
조금이나마 도움이 되셨다니 다행이네요~
오늘 하루도 즐거운 하루되시길 바라겠습니다!
아! 저도 이렇게 백지화되어버리길래 깜놀해서 그냥 원래 상태로 해뒀는데, 빨리 바꿔봐야겠어요! 감사합니다~
도움이 되셨다니 다행입니다.
오늘 하루도 즐거운 하루되시길 바라겠습니다!