2015.04.30

윈스, DB정보 탈취 가능한 SQL 인젝션 취약점 발견

편집부 | CIO KR
윈스가 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard) 4.37.26 이하 버전에서 DB 정보를 탈취할 수 있는 블라인드 SQL 인젝션(Blind SQL injection) 취약점을 발견했다.

이 취약점은 페이지의 파라미터 값을 필터링 없이 쿼리문에 그대로 전달될 경우 발생한다. 공격자는 파라미터 값을 조작해 DB내의 모든 정보를 획득 또는 삭제할 수 있으며, DB 시스템내에 악성 파일을 생성하거나 시스템을 조작할 수 있다.

윈스의 침해사고대응센터인 WSEC은 “해당 취약점을 'bo_subject' / 'po_subject' / ‘wr_content’ 파라미터에 필터링 정책을 추가하는 방법으로 해결할 수 있다”며, “자사 웹 방화벽인 SNIPER WAF를 이용중인 기업 및 기관은 이미 XSS 공격에 대한 보안 정책이 적용되어 있으므로 공격에 대응할 수 있다”고 설명했다.

윈스는 그누보드 배포 사이트인 에스아이알소프트에 관련 정보를 제공했다고 밝혔다. ciokr@idg.co.kr



2015.04.30

윈스, DB정보 탈취 가능한 SQL 인젝션 취약점 발견

편집부 | CIO KR
윈스가 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard) 4.37.26 이하 버전에서 DB 정보를 탈취할 수 있는 블라인드 SQL 인젝션(Blind SQL injection) 취약점을 발견했다.

이 취약점은 페이지의 파라미터 값을 필터링 없이 쿼리문에 그대로 전달될 경우 발생한다. 공격자는 파라미터 값을 조작해 DB내의 모든 정보를 획득 또는 삭제할 수 있으며, DB 시스템내에 악성 파일을 생성하거나 시스템을 조작할 수 있다.

윈스의 침해사고대응센터인 WSEC은 “해당 취약점을 'bo_subject' / 'po_subject' / ‘wr_content’ 파라미터에 필터링 정책을 추가하는 방법으로 해결할 수 있다”며, “자사 웹 방화벽인 SNIPER WAF를 이용중인 기업 및 기관은 이미 XSS 공격에 대한 보안 정책이 적용되어 있으므로 공격에 대응할 수 있다”고 설명했다.

윈스는 그누보드 배포 사이트인 에스아이알소프트에 관련 정보를 제공했다고 밝혔다. ciokr@idg.co.kr

X