Home | Data Center | Contact US | Login

제목 국내 공개 웹 솔루션(위즈보드, 위즈몰) 취약점 조치 권고
작성일 2010-08-16 08:50:06

□ 개요
   o 최근 국내 PHP 기반 공개 웹 게시판인 위즈보드 구버전과 쇼핑몰 솔루션인 위즈몰 최신버전에서 다수의 취약점이 발견[1, 5]
   o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취, 내부정보(개인정보
     등)유출 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

□ 해당 시스템
   o 영향 받는 소프트웨어
     - 위즈몰 6.4 UTF-8 및 이하 버전
     - 위즈보드 2.05 버전
       ※ 위즈보드의 버전 관리 문제로 인해 다른 배포 버전에서도 동일한 취약점이 존재할 가능성이   있음

□ 조치 권고 사항
   o 위즈몰 웹 관리자는 알려진 취약점에 대한 보안을 강화한 6.4.2 버전으로 업그레이드
     - 보안 패치된 파일[5]로 덮어쓰거나, 전체 설치 버전[4]을 새롭게 설치
       ※ 패치 작업 이전에 주요 설정 파일은 백업 필요
       ※ 위즈몰 6.0 이하 버전의 호환성 문제는 제작사와 상담 필요
   o 위즈보드 웹 게시판 관리자는 위즈몰에 포함된 최신 위즈보드로 업그레이드[1]
     ※ 제작사에서 위즈보드의 단독 배포나 구버전에 대한 지원을 2007년경 이후로 중단한 상태이므로 별도 보안패치를 제공하지 않으며, 호환성 문제는 제작사와 상담 필요
   o 해당 솔루션의 업그레이드가 불가능할 경우에는 다음 사항 검토 권장
     - 한국인터넷진흥원(KISA)에서 제공하는 홈페이지 보안 강화 도구(CASTLE) 적용[2]
     - 웹사이트 보호에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업 또는
       비영리 단체의 경우 한국인터넷진흥원(KISA)에서 제공하는 웹취약점원격점검 서비스 신청[3]

□ 용어 정리
  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
  o 위즈보드 : PHP 언어로 작성된 홈페이지용 게시판 프로그램
  o 위즈몰 : PHP 언어로 작성된 쇼핑몰 구축 솔루션 프로그램

[참고사이트]
[1] http://www.shop-wiz.com/board/main/view/root/notice/125
[2] http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=7&PAGE_NUMBER=16
[3] http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=2&PAGE_NUMBER=17
[4] http://www.shop-wiz.com/board/main/view/root/wizmall01/165/
[5] http://www.shop-wiz.com/board/main/view/root/notice/126/
  [정기점검] 2010. 8. 24(화) 1차 정기점검 안내
  윈도우 서비스 격리 기능 우회 취약점 주의






회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도
회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도 회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도