인포섹, 공개웹게시판 웹쉘 취약점 발견

일반입력 :2013/04/30 15:06

손경호 기자

인포섹(대표 신수정)이 국내 PHP 기반 공개 웹 게시판인 익스프레스 엔진에서 웹쉘코드 삽입 취약점을 발견했다고 30일 밝혔다.

영향을 받는 소프트웨어(SW)는 익스프레스 엔진 1.5.4 및 이전 버전으로 취약한 버전을 사용하고 있을 경우 홈페이지 해킹에 의한 변조, 웹서버 원격제어, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 빠른 대응 조치가 필요하다.

기존 익스프레스 엔진(1.5.4.3 및 이전) 사용자는 업데이트가 적용된 상위 버전(1.7.3.2 이상) 으로 업그레이드 하고 패치 작업 이전 원본 파일은 백업이 필요하다. 원본 파일은 소스 수정으로 인한 프로그램 기능 영향도 평가 및 문제 발생 시 복구를 위해 반드시 백업을 해야 한다고 인포섹 측은 설명했다.

관련기사

익스프레스 엔진을 새로 설치하는 사용자의 경우 반드시 보안패치가 적용된 최신버전을 설치해야 한다. 이 취약점은 패치 권고문이 배포된 상태로 제로보드 xe –core 배포 사이트 'https://code.google.com/p/xe-core/wiki/ReleaseNote_1_7_3_2'를 통해 다운 받을 수 있다.

취약점을 발견한 인포섹 관제사업본부 장경칩 차장은 공격이 성공할 경우에 해당 서버를 활용해 내부망안에 있는 모든 PC를 쉽게 공격할 수 있으므로 신속히 패치를 적용해 잠재된 위협을 제거해야 한다고 당부했다.