2007년 08월 16일
IRiS nX의 보안 문제 안내
PHP+MySQL의 게시판이 너무나 일반화된 시대인지라
전혀 버전업되고 있지 않은 사실상 버려진 상태의 nX입니다만,
아직까지도 사용하시는 분들이 계셔서 안내드립니다.
문제
과거에는 PHP나 HTML 등의 파일을 첨부해도 아무 문제가 없었지만
PHP, HTML은 실행 권한이 지정되어 있지 않아도 '실행'되므로
공개 업로드 게시판으로 사용하고 계신 경우
PHP, HTML 파일 등 실행 권한이 부여되지 않아도 실행될 가능성이 있는
확장자의 파일을 첨부하지 못하도록 하실 필요가 있습니다.
(윈도우 서버인 경우 EXE, ASP, ASPX 등의 파일도 실행되지 못하도록 하셔야 할 경우도 있을 수도 있습니다)
웹 스크립트로 인식해 서버에서 실행할 여지가 있는 스크립트는 업로드하지 못하도록 하셔야 할 필요가 있습니다.
수정 방법
가장 안전한 방법은 nxcfg.cgi 파일의
$must_allowed = 0;
항목을
$must_allowed = 1;
로 변경해주시고,
nx_desc.cgi 파일에 등록 가능한 확장자를 명시하시는 것입니다.
또는 추천할 수는 없지만 모든 종류의 파일을 업로드 하도록 하셔야만 하는 상황이라면
irisnx.cgi 스크립트의
&get_form; &get_cookie;
라인 아래(41라인)에
&msg_error("sav_file", "this file is disallowed!!") if (lc($ext) =~ /(php|php3|htm|html|asp|aspx|exe)/;
식의 스크립트로 서버 상에서 실행될 가능성이 있는 파일들의
업로드를 막아주시기 권해드립니다.
지만 어디까지나 임시인 것으로, 시대가 시대이니만큼 공개 업로드 게시판용으로는 nX를 사용하지 맙시다. -_-
전혀 버전업되고 있지 않은 사실상 버려진 상태의 nX입니다만,
아직까지도 사용하시는 분들이 계셔서 안내드립니다.
문제
과거에는 PHP나 HTML 등의 파일을 첨부해도 아무 문제가 없었지만
PHP, HTML은 실행 권한이 지정되어 있지 않아도 '실행'되므로
공개 업로드 게시판으로 사용하고 계신 경우
PHP, HTML 파일 등 실행 권한이 부여되지 않아도 실행될 가능성이 있는
확장자의 파일을 첨부하지 못하도록 하실 필요가 있습니다.
(윈도우 서버인 경우 EXE, ASP, ASPX 등의 파일도 실행되지 못하도록 하셔야 할 경우도 있을 수도 있습니다)
웹 스크립트로 인식해 서버에서 실행할 여지가 있는 스크립트는 업로드하지 못하도록 하셔야 할 필요가 있습니다.
수정 방법
가장 안전한 방법은 nxcfg.cgi 파일의
$must_allowed = 0;
항목을
$must_allowed = 1;
로 변경해주시고,
nx_desc.cgi 파일에 등록 가능한 확장자를 명시하시는 것입니다.
또는 추천할 수는 없지만 모든 종류의 파일을 업로드 하도록 하셔야만 하는 상황이라면
irisnx.cgi 스크립트의
&get_form; &get_cookie;
라인 아래(41라인)에
&msg_error("sav_file", "this file is disallowed!!") if (lc($ext) =~ /(php|php3|htm|html|asp|aspx|exe)/;
식의 스크립트로 서버 상에서 실행될 가능성이 있는 파일들의
업로드를 막아주시기 권해드립니다.
지만 어디까지나 임시인 것으로, 시대가 시대이니만큼 공개 업로드 게시판용으로는 nX를 사용하지 맙시다. -_-
# by | 2007/08/16 16:06 | 트랙백 | 덧글(0)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]