[긴급보안패치] 그누보드 4.33.00 정보
[긴급보안패치] 그누보드 4.33.00
첨부파일
본문
4.33.00 (11.01.06)
: [보안패치] XSS / CSRF
FLASH 파일의 ACTION SCRIPT로 관리자의 세션값을 알아내고 공유하여 결국에는 관리자권한을 모두 갖게 되는
치명적인 오류가 발견 되었습니다. (간단하게 말해서 플래시를 보는것만으로 세션값이 노출됩니다.)
이것은 해커가 관리권한을 공유하는 것으로 관리자의 패스워드가 노출된것은 아닙니다.
패치의 주된 내용은 게시판의 다른 회원이 올린 embed 태그는 관리자에게 보여지지 않게 하는 것입니다.
또한, 세션키가 공개되더라도 관리자 페이지에서 직접 로그인한 관리자인지를 이중으로 체크합니다.
기본환경설정, 관리권한설정, 회원관리, 포인트관리에는 관리자 패스워드를 다시 물어서 관리권한을 완전히 넘겨주지 않도록 하였습니다.
이것과 관련된 자세한 내용은 보안뉴스의 내용을 참고하십시오.
http://www.boannews.com/media/view.asp?idx=24280&kind=1
(i2Sec 교육팀 강성호님께서 알려주신 내용입니다.)
아래 패치를 모두 적용하기 힘든 사이트는 중요라고 되어 있는 파일만 수정해 주시기 바랍니다.
=== 중요 ===
lib/common.lib.php
의 bad_tag_convert(), view_file_link() 함수 코드 수정
skin/board/basic/view_comment.skin.php
의 $str = preg_replace("/\[\<a\s.*href\=\"(http|https|ftp)\:\/\/([^[:space:]]+)\.(swf)\".*\<\/a\>\]/i", "<script>doc_write(flash_movie('$1://$2.$3'));</script>", $str);
위 코드 제거 또는 주석처리
bbs/login_check.php
에 ss_mb_key 세션키 추가
adm/admin.lib.php
에서 ss_mb_key 비교
=== /중요 ===
adm/config_form.php
adm/config_form_update.php
adm/auth_list.php
adm/auth_update.php
adm/member_form.php
adm/member_form_update.php
adm/point_list.php
adm/point_update.php
: [보안패치] XSS / CSRF
FLASH 파일의 ACTION SCRIPT로 관리자의 세션값을 알아내고 공유하여 결국에는 관리자권한을 모두 갖게 되는
치명적인 오류가 발견 되었습니다. (간단하게 말해서 플래시를 보는것만으로 세션값이 노출됩니다.)
이것은 해커가 관리권한을 공유하는 것으로 관리자의 패스워드가 노출된것은 아닙니다.
패치의 주된 내용은 게시판의 다른 회원이 올린 embed 태그는 관리자에게 보여지지 않게 하는 것입니다.
또한, 세션키가 공개되더라도 관리자 페이지에서 직접 로그인한 관리자인지를 이중으로 체크합니다.
기본환경설정, 관리권한설정, 회원관리, 포인트관리에는 관리자 패스워드를 다시 물어서 관리권한을 완전히 넘겨주지 않도록 하였습니다.
이것과 관련된 자세한 내용은 보안뉴스의 내용을 참고하십시오.
http://www.boannews.com/media/view.asp?idx=24280&kind=1
(i2Sec 교육팀 강성호님께서 알려주신 내용입니다.)
아래 패치를 모두 적용하기 힘든 사이트는 중요라고 되어 있는 파일만 수정해 주시기 바랍니다.
=== 중요 ===
lib/common.lib.php
의 bad_tag_convert(), view_file_link() 함수 코드 수정
skin/board/basic/view_comment.skin.php
의 $str = preg_replace("/\[\<a\s.*href\=\"(http|https|ftp)\:\/\/([^[:space:]]+)\.(swf)\".*\<\/a\>\]/i", "<script>doc_write(flash_movie('$1://$2.$3'));</script>", $str);
위 코드 제거 또는 주석처리
bbs/login_check.php
에 ss_mb_key 세션키 추가
adm/admin.lib.php
에서 ss_mb_key 비교
=== /중요 ===
adm/config_form.php
adm/config_form_update.php
adm/auth_list.php
adm/auth_update.php
adm/member_form.php
adm/member_form_update.php
adm/point_list.php
adm/point_update.php
댓글 전체
바로 적용해야 겠네요
빠른 대응 감사합니다~!
빠른 대응 감사합니다~!
선리플 후적용 -_-;
13:59 에 올려진 파일을 받은건데, 그 사이 새로 파일 업로드가 됐군요~
수고 많으셨습니다.
늘 감사드려요^^
늘 감사드려요^^
$str = preg_replace("/\[\<a\s.*href\=\"(http|https|ftp)\:\/\/([^[:space:]]+)\.(swf)\".*\<\/a\>\]/i", "<script>doc_write(flash_movie('$1://$2.$3'));</script>", $str);
bbs/view_comment.php 가 아니라
lib/common.lib.php 에 있습니다
bbs/view_comment.php 가 아니라
lib/common.lib.php 에 있습니다
bbs/view_comment.php 를 skin/board/basic/view_comment.skin.php 로 정정합니다.
lib/common.lib.php 의
view_file_link() 함수에서
else if (preg_match("/\.($config[cf_flash_extension])$/i", $file))
//return "<embed src='$g4[path]/data/file/$board[bo_table]/$file' $attr></embed>";
return "<script>doc_write(flash_movie('$g4[path]/data/file/$board[bo_table]/$file', '_g4_{$ids}', '$width', '$height', 'transparent'));</script>";
이 코드를 삭제하시거나 주석 처리하시기 바랍니다.
view_file_link() 함수에서
else if (preg_match("/\.($config[cf_flash_extension])$/i", $file))
//return "<embed src='$g4[path]/data/file/$board[bo_table]/$file' $attr></embed>";
return "<script>doc_write(flash_movie('$g4[path]/data/file/$board[bo_table]/$file', '_g4_{$ids}', '$width', '$height', 'transparent'));</script>";
이 코드를 삭제하시거나 주석 처리하시기 바랍니다.
감사합니다. 적용 완료했습니다.
감사합니다. 이번 패치의 핵심내용인
[패치의 주된 내용은 게시판의 다른 회원이 올린 embed 태그는 관리자에게 보여지지 않게 하는 것입니다.]
라고 되어 있는데 저부분이 문제가 된다면 타 회원의 권한을 가로 챌수도 있다는것이 되는건가요?
만약 그럴경우 부운영자 관리권한등에서도 문제가 된다는뜻 같아 보이는데요.
[패치의 주된 내용은 게시판의 다른 회원이 올린 embed 태그는 관리자에게 보여지지 않게 하는 것입니다.]
라고 되어 있는데 저부분이 문제가 된다면 타 회원의 권한을 가로 챌수도 있다는것이 되는건가요?
만약 그럴경우 부운영자 관리권한등에서도 문제가 된다는뜻 같아 보이는데요.
적용했습니다.
감사합니다.
감사합니다.
안녕하세요. 유창화입니다.
이번의 보안 이슈에 대해 제 생각을 적어봅니다.
일단 관리자가 플래시를 보는 것을 제한하는 것은 완전한 해결책이 아니라고 보여집니다.
다른사람의 권한은 가질수 잇으니까요.
따라서 다음과 같이 변경하면 어떨까 적어봅니다.
관리자 페이지 접근 권한 체크를 이중으로 햇으면 합니다.
즉 관리자 페이지로 들어올때 최초에 특정세션값을 체크하여 없다면 비밀번호를 입력하게 하여 새로운 세션을 굽습니다.
그리고 관리자가 아닌 페이지에선 선처리로 관리자용 세션을 무조건 지웁니다.
그다음 일반 회원이나 관리자나 공통사항인데
게시판이나 이런곳에서 수정삭제할때는 비밀번호를 입력하도록 처리 하는 것입니다.
이번 보안 이슈는 플레시를 통해 세션을 알게 되는 것이므로
비밀번호를 알지는 못합니다.
즉 관리자 페이지를 제외한 곳에서는 입력, 수정, 삭제시 자신의 비밀번호를 매번 적도록 하는 것입니다.
관리자 페이지에선 이중 세션으로 관리하구요.
이렇게 하면 굳이 플래시를 막거나
다른 회원의 권한이 뺏기는 경우가 없을 것 같습니다.
관련 의견들 부탁드립니다.
이번의 보안 이슈에 대해 제 생각을 적어봅니다.
일단 관리자가 플래시를 보는 것을 제한하는 것은 완전한 해결책이 아니라고 보여집니다.
다른사람의 권한은 가질수 잇으니까요.
따라서 다음과 같이 변경하면 어떨까 적어봅니다.
관리자 페이지 접근 권한 체크를 이중으로 햇으면 합니다.
즉 관리자 페이지로 들어올때 최초에 특정세션값을 체크하여 없다면 비밀번호를 입력하게 하여 새로운 세션을 굽습니다.
그리고 관리자가 아닌 페이지에선 선처리로 관리자용 세션을 무조건 지웁니다.
그다음 일반 회원이나 관리자나 공통사항인데
게시판이나 이런곳에서 수정삭제할때는 비밀번호를 입력하도록 처리 하는 것입니다.
이번 보안 이슈는 플레시를 통해 세션을 알게 되는 것이므로
비밀번호를 알지는 못합니다.
즉 관리자 페이지를 제외한 곳에서는 입력, 수정, 삭제시 자신의 비밀번호를 매번 적도록 하는 것입니다.
관리자 페이지에선 이중 세션으로 관리하구요.
이렇게 하면 굳이 플래시를 막거나
다른 회원의 권한이 뺏기는 경우가 없을 것 같습니다.
관련 의견들 부탁드립니다.
결국 유저가 불편해지게 되는 것인데요.
중요 페이지 마다 비밀번호보다 매번 captchar 를 하시는게 나을것 같네요.
중요 페이지 마다 비밀번호보다 매번 captchar 를 하시는게 나을것 같네요.
감사합니다.
감사합니다.
관리자 페이지 접근 ip를 제한하는게 좋지 않을까 합니다.
관리자페이지에서 허용 ip를 변경할때만 패스워드를 2중화 하면 되지 않을까요?
관리자페이지에서 허용 ip를 변경할때만 패스워드를 2중화 하면 되지 않을까요?
감사합니다.
예전 홈페이지는 일단 중요 패치만 ㄷㄷㄷ
예전 홈페이지는 일단 중요 패치만 ㄷㄷㄷ
고생많으셨습니다.. 빠른패치 감사합니다.
그리고, 이건 그누보드 뿐만 아니라, 제로보드도 마찬가지일거 같은데,
제로보드는 패치가 중단되었으니, 문제가 더 심각하겠군요.
아직 제로보드로 운영하는 사이트가 많은데...
(관리자님 본문글에서 XSS 방법은 그냥 삭제하시는게 좋을것 같습니다.)
제로보드는 패치가 중단되었으니, 문제가 더 심각하겠군요.
아직 제로보드로 운영하는 사이트가 많은데...
(관리자님 본문글에서 XSS 방법은 그냥 삭제하시는게 좋을것 같습니다.)
수고하셨습니다.
감사합니다.
감사합니다.
XSS 방법에 대한것은 패치를 왜 해야 하는지에 대해 알려드리려 내용을 최소화하여 적었습니다.
이것은 그누보드에 국한된것은 아닙니다.
이것은 그누보드에 국한된것은 아닙니다.
감사합니다.
고생많으셨습니다. 선리플은 달지만 적용은 조금뒤에 ㅠ
수고하셨습니다.^^
관리자님 저한테 고맙다고 할말없어요^^
제가 이렇게 (보안뉴스)발견해서 가르쳐주는뎅.. ㅠㅠ
제가 이렇게 (보안뉴스)발견해서 가르쳐주는뎅.. ㅠㅠ
휴... 패치할걸 생각하니 한숨이 ㅠㅠ
고생 많으셨습니다. ^^
고생 많으셨습니다. ^^
xss/csrf 보안관련
감사합니다.
skin/board/basic/view_comment.skin.php 패치하는것이 있는데
다른 스킨부분의 view_comment.skin.php 파일도 위 파일로 패치해야 하나요?
다른 스킨부분의 view_comment.skin.php 파일도 위 파일로 패치해야 하나요?
감사합니다.
허걱.....
skin/board/basic/view_comment.skin.php <=이 파일을 패치하니
댓글입력하는 란이 나타나지 않습니다
제가 뭘 잘못한건가요?
댓글입력하는 란이 나타나지 않습니다
제가 뭘 잘못한건가요?
쩝....고생많았습니다.....
고생이 많으십니다.
근데 기사를 때리는건 좀 퐝당하네요.
전 빌더 얼른 패치를 하고 올려진 빌더부터 지워야겠네요.;;
근데 기사를 때리는건 좀 퐝당하네요.
전 빌더 얼른 패치를 하고 올려진 빌더부터 지워야겠네요.;;
ㅎ....그렇죠???....
조용히 알려준후 패치끝난즈음해서 뉴스화해도 되지 않았을지....
이거 운영하는분들은 허겁지겁....허둥지둥.....해야하니...원...ㅎㅎ
조용히 알려준후 패치끝난즈음해서 뉴스화해도 되지 않았을지....
이거 운영하는분들은 허겁지겁....허둥지둥.....해야하니...원...ㅎㅎ
그러게요.
피해가 최소화되길 바라며, 전 완료!
피해가 최소화되길 바라며, 전 완료!
중요라고 되어 있는 파일만 수정하던지
아니면
아래 파일만 교체해도 되는건가요??
--- 아래 ---
adm/config_form.php
adm/config_form_update.php
adm/auth_list.php
adm/auth_update.php
adm/member_form.php
adm/member_form_update.php
adm/point_list.php
adm/point_update.php
아니면
아래 파일만 교체해도 되는건가요??
--- 아래 ---
adm/config_form.php
adm/config_form_update.php
adm/auth_list.php
adm/auth_update.php
adm/member_form.php
adm/member_form_update.php
adm/point_list.php
adm/point_update.php
제 홈페이지에 패치하고
게시판에 글 제대로 작성되나 테스트 해봤는데...
제 메일로 아래와 같은 메일이 오네요.
======================================================================
<<XSS 공격 알림>>
000.000.000.000(제 아이피)아이피로 XSS 공격이 있었습니다.
관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.
해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.
=======================================================================
테스트는 여러번 해봤는데 메일은 한버만 왔습니다.
게시판에 글 제대로 작성되나 테스트 해봤는데...
제 메일로 아래와 같은 메일이 오네요.
======================================================================
<<XSS 공격 알림>>
000.000.000.000(제 아이피)아이피로 XSS 공격이 있었습니다.
관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.
해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.
=======================================================================
테스트는 여러번 해봤는데 메일은 한버만 왔습니다.
관리자로 로그인을 한 상태에서 패치를 진행하였다면 최초에 1번은 그렇게 되어야만 정상입니다.
이번 패치에서 추가된 2중 세션이 아직 생성한게 없기때문에 관리모드에 들어가는순간 공격으로 간주하는겁니다.^^
이번 패치에서 추가된 2중 세션이 아직 생성한게 없기때문에 관리모드에 들어가는순간 공격으로 간주하는겁니다.^^
물론 긴급 패치라 그런것이겠지만
관리자가
회원이 embed 한 플래시를
아예 볼 수 없다는 것은 넌센스가 아닐수 없습니다..
(비방이 절대 아닙니다.. 지금 관리를 하다보니 허탈해서 그렇습니다 ㅠ.ㅠ)
어서 빨리 해결책이 나왔으면 좋겠습니다 ㅠ.ㅠ
관리자가
회원이 embed 한 플래시를
아예 볼 수 없다는 것은 넌센스가 아닐수 없습니다..
(비방이 절대 아닙니다.. 지금 관리를 하다보니 허탈해서 그렇습니다 ㅠ.ㅠ)
어서 빨리 해결책이 나왔으면 좋겠습니다 ㅠ.ㅠ
관리자가 직접 작성한 글의 embed된 플래시는 보여지는 것 같은데..혹시 문제가 있진 않을까요? 관리자 권한이라면, 글을 쓸수도 있을텐데..
고맙습니다. 복받으세요.
고맙습니다.
좀 번거럽더라도 모든 form들에 특정토큰을 사용해 체크하는건 어떨까요? 예를들어서 유저가 form을 볼때마다 임의의 랜덤한 토큰을 생성하고 유저가 form을 submit 할때 해당 토큰값을 체크하는 식으로... 예를 들어
<?
session_start();
$token = md5(microtime() . mt_rand(0, 1000) . mt_rand(0, 1000) . mt_rand(0, 1000));
$_SESSION['token'] = $token;
?>
<form action="form.php" method="post">
<input type="hidden" name="token" value="<? echo $token; ?>" />
</form>
하고 update.php 에서
<?
if ($_POST['token'] != $_SESSION['token']) {
die('잘못된 토큰값');
}
?>
뭐 대충 이런식으로 말이죠. 임시적인 토큰값은 DB에다 생성하면 더 좋고요.
<?
session_start();
$token = md5(microtime() . mt_rand(0, 1000) . mt_rand(0, 1000) . mt_rand(0, 1000));
$_SESSION['token'] = $token;
?>
<form action="form.php" method="post">
<input type="hidden" name="token" value="<? echo $token; ?>" />
</form>
하고 update.php 에서
<?
if ($_POST['token'] != $_SESSION['token']) {
die('잘못된 토큰값');
}
?>
뭐 대충 이런식으로 말이죠. 임시적인 토큰값은 DB에다 생성하면 더 좋고요.
감사합니다. 적용완료 했습니다.
중요 패치만 하였습니다..감사합니다
하악....
술도 안깼는데 관련글을 보니 머리가 지끈하군요.
패치 생각하니 두배로 아프네요.
이러허언!!.. 영카트로 작업한 곳들도 패치를 해야 하는군요!!.. 우힝... ㅡ,.ㅜ 훌쩍.. 콧물찍 눈물찍..
곧 서버도 구매할건데 보안 공부가 많이 허접해서 걱정이 큽니다.
어쨌건 긴급 패치 감사합니다. 다음 패치도 기대해야겠군요.
그누보드 항상 감사♥하며 사랑♡합니다.
술도 안깼는데 관련글을 보니 머리가 지끈하군요.
패치 생각하니 두배로 아프네요.
이러허언!!.. 영카트로 작업한 곳들도 패치를 해야 하는군요!!.. 우힝... ㅡ,.ㅜ 훌쩍.. 콧물찍 눈물찍..
곧 서버도 구매할건데 보안 공부가 많이 허접해서 걱정이 큽니다.
어쨌건 긴급 패치 감사합니다. 다음 패치도 기대해야겠군요.
그누보드 항상 감사♥하며 사랑♡합니다.
전부 적용완료 했습니다. 헥헥~
감사합니다,,꾸부덩~~!!
관리자를 admin으로 하는것은 바보짓인것 같습니다.
쉽게 살려니 그것도 안되는구만..........
쉽게 살려니 그것도 안되는구만..........
감사 합니다. 잘 쓰겠습니다.
감사합니다...^^
관리자님 고생 많으시네요..
오늘 삽질했습니다.
감사합니다.
오늘 삽질했습니다.
감사합니다.
영카트 사용자도 패치해야 하나요??
회원가입하니깐 그런페이지 없다고.....그러고선 홈으로가니 로그인되어 있넹. 헐~~
그리고, 업데이트 때문인지는 몰라도 관리자 권한에 문제가 있어요.
게시판 관리에서 수정이 안된다는....ㅠㅠ
나만 그런감?
그리고, 업데이트 때문인지는 몰라도 관리자 권한에 문제가 있어요.
게시판 관리에서 수정이 안된다는....ㅠㅠ
나만 그런감?
그 오류난건 파일내리셨는지..
보안패치는 언제나 빨리.....
철통 같은 그누보드 적용해서 만들어 볼께요
철통 같은 그누보드 적용해서 만들어 볼께요
수고 많으셨습니다. 이렇게 바로 보안패치 올려주셔서 감사드려요~^^
이것은 이해가 안가 못했습니다.
이 버그는 로그인한 ip만 비교하면 해결되는거 아닌가요?
세션키가 노출되어 인증세션을 빼앗기더라도 ip가 같을 확률은 매우 낮습니다.
로그인시에 ip를 담아뒀다가 비교하면 될텐데요.
인증된 세션에 처음 로그인한 ip를 담고있다가 common.php에서 매번 접속ip와 비교해서 다르면 인증세션키를 삭제하면 해결될 것 같은데..
저는 이미 오래전부터 아래처럼 그누보드를 수정해서 사용하고있는데 문제점을 발견하지 못했습니다. 다른 문제가 있을까요?
if(!isset($_SESSION['login_ip']) || $_SESSION['loign_ip'] != $_SERVER['REMOTE_ADDR']) {
session_unset();
session_destroy();
$is_member = false;
$is_admin = false;
$is_guest = true;
}
세션키가 노출되어 인증세션을 빼앗기더라도 ip가 같을 확률은 매우 낮습니다.
로그인시에 ip를 담아뒀다가 비교하면 될텐데요.
인증된 세션에 처음 로그인한 ip를 담고있다가 common.php에서 매번 접속ip와 비교해서 다르면 인증세션키를 삭제하면 해결될 것 같은데..
저는 이미 오래전부터 아래처럼 그누보드를 수정해서 사용하고있는데 문제점을 발견하지 못했습니다. 다른 문제가 있을까요?
if(!isset($_SESSION['login_ip']) || $_SESSION['loign_ip'] != $_SERVER['REMOTE_ADDR']) {
session_unset();
session_destroy();
$is_member = false;
$is_admin = false;
$is_guest = true;
}
감사합니다..
