Offcanvas

보안

윈스, DB정보 탈취 가능한 SQL 인젝션 취약점 발견

2015.04.30 편집부  |  CIO KR
윈스가 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard) 4.37.26 이하 버전에서 DB 정보를 탈취할 수 있는 블라인드 SQL 인젝션(Blind SQL injection) 취약점을 발견했다.

이 취약점은 페이지의 파라미터 값을 필터링 없이 쿼리문에 그대로 전달될 경우 발생한다. 공격자는 파라미터 값을 조작해 DB내의 모든 정보를 획득 또는 삭제할 수 있으며, DB 시스템내에 악성 파일을 생성하거나 시스템을 조작할 수 있다.

윈스의 침해사고대응센터인 WSEC은 “해당 취약점을 'bo_subject' / 'po_subject' / ‘wr_content’ 파라미터에 필터링 정책을 추가하는 방법으로 해결할 수 있다”며, “자사 웹 방화벽인 SNIPER WAF를 이용중인 기업 및 기관은 이미 XSS 공격에 대한 보안 정책이 적용되어 있으므로 공격에 대응할 수 있다”고 설명했다.

윈스는 그누보드 배포 사이트인 에스아이알소프트에 관련 정보를 제공했다고 밝혔다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.