실시간
뉴스

침해사고/위협동향

인포섹, XE엔진 웹쉘코드 삽입 취약점 발견

디지털데일리 발행일 2013-04-30 15:41:27
이민형 기자

- 구 버전 사용시 웹서버 원격제어, DB정보 유출 위험

[디지털데일리 이민형기자] 인포섹(www.skinfosec.com 대표 신수정)은 국내 PHP기반의 공개 웹 게시판인 익스프레스(XE)엔진에서 웹쉘코드 삽입(Code Injection) 취약점을 발견했다고 30일 밝혔다.

영향을 받는 소프트웨어는 XE엔진 1.5.4과 이전 버전으로 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 변조, 웹서버 원격제어, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 빠른 대응 조치가 필요하다.
 
기존 XE엔진(1.5.4.3 및 이전) 사용자는 업데이트가 적용된 상위 버전(1.7.3.2 이상) 으로 업그레이드 하고 패치 작업 이전 원본 파일은 백업이 필요하다. 원본 파일 백업의 경우 소스 수정으로 인한 프로그램 기능 영향도 평가 및 문제 발생 시 복구를 위해 꼭 필요하다.

이 취약점은 패치 권고문이 배포된 상태로 제로보드 배포 사이트 (https://code.google.com/p/xe-core/wiki/ReleaseNote_1_7_3_2)를 통해 내려받을 수 있다.

이 회사 장경칩 관제사업본부 차장은 “공격이 성공할 경우에 해당 서버를 활용해 내부망안에 있는 모든 PC를 쉽게 공격할 수 있으므로, 신속히 패치를 적용해 잠재된 위협을 제거해야 한다”고 당부했다.

<이민형 기자>kiku@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x