[웹드로우] 그누보드4 보안 업데이트 4.37.27

페이지 정보

조회 2,583회 작성일 2015-05-13 19:18 URL https://webdraw.kr/notice/342

본문

4.37.27 (2015.05.13) 

: 로그인 검사시 Magic Hash 취약점이 발견되어 수정 (빈경윤님께서 알려주셨습니다.) 

 

국내 기사) http://www.boannews.com/media/view.asp?idx=46219&kind=4 

취약점 발표) https://blog.whitehatsec.com/magic-hashes/ 

 

동작 환경) 

비밀번호 해시값이 '0e' + '숫자로만 생성'되었을 경우, 미리 알고 있는 Magic Hash 값을 통해 아무나 로그인할 수 있게 됩니다. 

그누보드에서는 mysql 의 password()함수로 hash 하므로, 

mysql 4.1 이전 버전이거나 old_password 설정이 활성화된 상태에서만 취약합니다. 

 

해결방법) 

아래처럼 비밀번호 비교 구문을 모두 찾아, 동등 연산자(!=)를 일치 연산자(!==)로 변경해주시기만 하면 됩니다. 

 

bbs/login_check.php 의 

 

if (!$mb[mb_id] || (sql_password($mb_password) != $mb[mb_password])) { 

 

를 

 

if (!$mb[mb_id] || (sql_password($mb_password) !== $mb[mb_password])) { 

 

로 수정하세요. 


MENU