안녕하세요 닷홈입니다

제로보드 보안패치가 2009년 9월 22일자로 나왔습니다
이후 메인화면 백지화, 또는 아웃로그 설치시 백지화 문제로 인하여 많은 상담요청이 이루어 지고 있습니다

이는 제로보드에서 제공된 제로보드4의 패치 버그로 outlogin.php와 _head.php 에서 발견된 오류 문제로
호스팅서비스와는 무관하나 고객님들의 원할한 제로보드사용을 위하여  저희 닷홈에서 이에 대한 조치를 안내 드립니다.

계정 신청 후 닷홈에서 올려드린 bbs를 사용하지 않거나, 삭제 후 별도로 제로보드4를 업로드를 삼가해주시고,
필요하시면 닷홈메뉴얼을 참고하시어 다운받아 설치하시기 바랍니다

http://www.dothome.co.kr/my/manual/zeroboard/01.php


메인화면 백지화, 또는 아웃로그 설치시 백지화 문제가 발생할 경우


_head.php 수정 [제로보드 경로 확인]

if(eregi("://",$_zb_path)||eregi("..",$_zb_path)||eregi("^/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

에서 마지막 부분을 [$_zb_path ="./";]  아래와 같이

$_zb_path =" 고객님 외부로그인 절대경로 ";  로 수정 하시기 바랍니다



취약점 안내

    * 일자 : 2009. 09. 22
    * 내용 : _zb_path, dir 변수에 대해 웹쉘 없이 직접 서버내 파일을 실행 할 수 있는 취약점 발생보고 : 한국 인터넷 진흥원 (http://www.kisa.or.kr)
    * 대상 : 제로보드4 모든 버전
    * 비고 : php5.2 이상에서만 발생하는 취약점과 php 버전 상관없이 발생하는 취약점

취약점 보완

   1. 패치 파일 적용 : 첨부된 patch.2009.02.22.zip 파일의 압축을 풀고 덮어쓰기
   2. 패치 적용 : 첨부된 zb4.20090922.patch  파일의 patch 명령어를 이용한 적용
   3. 직접 수정

        1. 대상 파일
               1. _head.php
               2. skin/zero_vote/ask_password.php
               3. skin/zero_vote/error.php
               4. skin/zero_vote/login.php
               5. skin/zero_vote/setup.php


         2. 수정 내용

               1. _head.php
                  [수정전]
                  if(eregi("://",$_zb_path)||eregi("..",$_zb_path)) $_zb_path ="./";
                  [수정후]
                  if(eregi("://",$_zb_path)||eregi("..",$_zb_path)||eregi("^/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

               2. skin/zero_vote/ 파일들
                  [수정전]
                  if(eregi("://",$dir)||eregi("..",$dir)) $dir ="./";
                  [수정후]
                  if(eregi("://",$dir)||eregi("..",$dir)||eregi("^/",$dir)||eregi("data:;",$dir)) $dir ="./";


저희 닷홈은 앞으로도 고객님께 보다 나은 시스템과 서비스 제공을 위해서 최선을 다 할것을 약속드리겠습니다.

감사합니다.