2009년 07월 06일
FCKEditor 신규취약점 발표(0day)

지난 토요일 새벽, FCKEditor 신규 취약점이 발표됐습니다.

파일업로드와 디렉토리 리스팅인데요.

패치 버전이 한국시간으로 내일 새벽 발표된다고 합니다. (7/7 01:00)


언더에서 발표된건 아닙니다만 공격이 활발하게 이루어지고 있습니다.

7월 2일, 5일 알려진 콜드퓨전 취약점도 다 이녀석때문에 발생된 것들입니다.

FCKEditor/CKEditor는 정부기관에서도 많이들 사용하고 있는데요..

안구에 습기가 차오릅니다.

 

기존 버전 취약점은 대부분 디폴트 업로드 디렉토리에만 업로드가 됐는데

이번 취약점은 아무 디렉토리에나 업로드 가능하다고 합니다.

자료실 디렉토리에 스크립트 실행 제한 걸어놓는걸로는 대응이 되지 않겠습니다.

가급적 파일업로드 기능을 제한(파일첨부 금지)하는게 안전할 것 같습니다.


/editor/filemanager/connectors 나
/editor/filemanager/upload 디렉토리의

모든 config.* 파일의 설정을 아래처럼 변경해서 업로드 기능을 당분간 중지할 수 있습니다.

$Config['Enabled'] = false ;


콜드퓨전을 공격하는 녀석의 공통점이 있다고 하는데요.

사용하는 웹셸의 파라미터로 action=seraph 가 쓰인다고 하는군요.

뭐 완벽하진 않지만 당분간이라도 이런 패턴으로 공격을 탐지하는 것 괜찮아 보입니다.


".cfm?action=seraph"


HPP로 파라미터를 이렇게 자를 수도 있겠네요 -.-

".cfm?action=s&action=er&action=aph"



그나저나 xeraph 님과 닉네임이 비슷한데요..
의심(?)스럽습니다. ^^a 크크

.

 

by ww0jeff | 2009/07/06 10:53 | security | 트랙백(1) | 덧글(0)
트랙백 주소 : http://ww0jeff.egloos.com/tb/4181960
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Tracked from Learning Thr.. at 2009/07/07 07:08

제목 : FCKEditor 패치버전 발표(2.6.4.1)
예정대로 FCKEditor 패치버전이 발표됐습니다. 마이너 업데이트인데요. (2.6.4.0 -> 2.6.4.1 )파급효과를 생각했는지 변경내역을 비공개처리했습니다.디핑해보니 파일네임에 특수문자 처리(.,/\|등) 와 저장폴더 확인사살 루틴이 첨부되었습니다. 특이사항으로 perl 만 config 파일(config.pl)을 제거해버리고 connector.cgi 에서자체 처리를 하네요. 이제 서버쪽을 막으셨으니 또 클라이언트쪽 0da......more

:         :

:

비공개 덧글



<< 이전 페이지 | 다음 페이지 >>