워드프레스 2.8.5 이하, 업로드 취약점에 의한 보안 문제
2009/11/14 16:56
오랜만에 워드프레스에서 보안 취약점이 나왔나 보네요. 버전 2.8.5 이하에서 업로드 취약점을 이용한 공격이 가능하다고 합니다. 제가 웹 어플 쪽을 공부하지 않아서 자세한 기술적인 내용을 이해하지는 못했습니다. 주기적으로 발동하는 영어 울렁증도 괜히 이쯤 되서 발동한 것도 한 이유이구요.
wp-admin/includes/file.php 에 취약점이 있다고하니, 자세한 기술적인 내용을 알고 싶으신 분은 아래 링크에서 확인해보시기 바랍니다.
http://www.securityfocus.com/archive/1/507819
우선, 가능하다면 버전 2.8.6으로 업데이트하는 것을 권장합니다. 하지만 그것이 여의치 않을 경우, 임시로 공격을 막는 방법이 알려져 있네요. 다만, 이것은 취약점을 그대로 가지고 가면서 임시로 막는 것일 뿐이니 꼭 버전을 업데이트하세요.
임시 해결 방법
업로드 디렉토리 (wordpress/wp-content/uploads)에 아래 내용의 .htaccess 파일을 생성합니다.<Files ~ "^\w+\.(gif|jpe?g|png|avi)$">
order deny,allow
allow from all
</Files>이 방법으로 악성 코드에 의한 피해를 막을 수 있다고 합니다. 그런데 이 코드는 저 확장자들에 함부로 접근하지 못하도록 하는 것 같은데, 정상적인 이용에도 영향을 주지 않을런지 모르겠네요.
"#2. 지피지기, 백전불패 / 웹 어플리케이션" 분류의 다른 글
| Adobe 0-day 취약점을 이용한 Mass Injections (via Websense) (0) | 2010/06/16 |
| 웹 무른모의 위기와 SQL 인젝션... (4) | 2009/12/24 |
| Internet Explorer 6, 7에서 0-day 나왔다네요. (0) | 2009/11/22 |
| HackThisSite Realistic :: Fischer's Animal Products (0) | 2009/08/23 |
| 워드프레스, 원격으로 어드민 패스워드를 수정하는 취약점 (2) | 2009/08/14 |
| HackThisSite Realistic :: Peace Poetry: HACKED (0) | 2009/07/04 |
| HackThisSite Realistic :: Chicago American Nazi Party (2) | 2009/06/27 |
| HackThisSite Realistic :: Uncle Arnold's Local Band Review (0) | 2009/06/22 |
| SQL Injection 하나면 절반은 먹고 갈까? (0) | 2009/05/05 |
| SPYKIDS OWNZ YOUR SYSTEM, 제로보드4 속수무책으로 당하다. (6) | 2009/02/11 |
Trackback Address:http://hisjournal.net/blog/trackback/277