내부 데이터 유출 가능한 SQL 인젝션 취약점...보안 업데이트 필수  

[보안뉴스 김태형] 한국인터넷진흥원(이하 KISA)은 국내 PHP기반의 공개 웹 게시판인 그누보드에서 SQL Injection 보안 취약점이 발견됐다고 밝혔다. 그누보드는 PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크를 말한다.

취약한 버전을 사용하고 있을 경우, 홈페이지 데이터베이스 계정 정보가 유출되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치가 필요하다.

이번 취약점에 영향을 받는 소프트웨어는 그누보드 4.36.07 및 이전 버전이며 기존 그누보드 사용자는 업데이트가 적용된 상위 버전(4.36.08 이상)으로 업그레이드해야 한다. 패치 작업 이전에 원본 파일은 백업이 필요하다.

또한, 그누보드를 새로 설치하는 이용자는 반드시 보안패치가 적용된 최신 버전을 설치해야 한다.

PHP는 동적인 웹사이트를 위한 서버 측 스크립트 언어를 말하며, SQL Injection은 웹 응용 프로그램에 강제로 SQL 구문을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회할 수 있는 공격이다.

이와 관련된 자세한 사항은  홈페이지(http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=8052&page=1)를 참고하면 된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>