[긴급]smarteditor2 사용금지 요청합니다.
오랜만에 사이트 접속해서 보니 아래에서 컴대장님이 자신의 서버 해킹 관련한 글을 올려 호기심 발동해서 소스를 살펴보았습니다. 분명 이런 문제는 위지윅에디터 사용 혹은 업로더 문제일 것이라 판단하여 smarteditor2 소스를 살펴보다 문제가 될만한 부분을 보았습니다. 그리고 테스트를 해보니 로그인하지 않아도 파일 업로드가 가능하네요... 그렇기에 관리자는 아니더라도 긴급 공지가 되었으면 하는 마음에 글을 적습니다.
smarteditor2사용을 금지해주세요. 다른 위지윅은 점검을 해보지 않았지만 일단 사용을 피하시기 바랍니다. 이 문제는 정리 후 버그란에 올릴께요.
추가: 사이트에 올려져 있어도 위험합니다. 이름을 바꾸던지 혹은 삭제해야 합니다. 깔려만 있어도 가능합니다.
|
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기
댓글 27개
아. 안하셨다면 보안패치는 꼭 하셔야 하구요.
"사진 퀵 업로더 샘플 null byte injection 취약점 관련 패치가 포함되어 있습니다.
이전 버전에서 보안 패치만 적용하시려면 아래의 파일을 업데이트 하십시오. " 인 것 같고..
2.8.2.3 의 링크에 http://dev.naver.com/projects/smarteditor/download/note/7826
"사진 업로더 샘플에 보안취약점이 추가로 확인되어 가장 최신버전2.8.2 에 핫픽스 반영하였습니다.
2.8.2미만 버전을 사용하고 계신 경우, 보안패치된 file_uploader.php 파일만 다운받아 덮어씌우시면 됩니다. "
다시 보안 취약점에 대한 내용이 있습니다.
보안문제는 업로드된 php 파일을 외부 접근으로 실행할 수 있느냐 없느냐입니다.
그리고 가능하다면 이미지로 위장된 스크립트 파일인지 확인한 후 업로드되게 해야하고
그것이 어렵다면 서버단에서 위장된 스크립트가 작동되지 않도록 수정해야 할듯 싶네요.
직접 서버를 운영하시면 httpd.conf 파일에
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
를 추가하신후 아파치를 재구동 하시면 이미지에 숨겨진 모든 스크립트가 실행되지 않도록 할 수 있습니다.
호스팅 사용자분들은
.htaccess 파일에 아래 내용을 입력하고 저장하시면 같은 효과를 보십니다...^^
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI
@잉끼다 그누보드 권장 data퍼미션은 "707"이고 아래는 파일명에 "thumb-XXX"라는 식으로 올려봤습니다. 확장자 위변조 파일이 실행가능하다는 이야기고 다행스럽게도 카페24는 서버단에서 서버스크립트(PHP)에 대한 실행을 막고 있는 듯 합니다.
그 파일이 실행된다면 파일권한 설정이 잘못된겁니다.
[http://sir.kr/data/editor/1612/9dc585770a3e85ac466ca6447c60dd27_1482131877_3767.png]
[http://sir.kr/data/editor/1612/3d5d2be942e5e104280dee56841c2f64_1482132578_6496.jpg]
잉끼다 님 말씀처럼, 폴더는 755 , 파일은 644로 설정하려면 어떻게 해야 하는지?
괜히 따라하는 사람이 생길 수 있으니까요. 긴급한 사안이라면 개발진에서 잘 대응하리라 생각됩니다.
수고하세요.
이틀간 밤잠 설쳐서 정신 좀 차린 다음 최신 패치를 시작하려 합니다.
최신으로 패치 단행하십시요. 맞으면 많이 아픕니다.