Strict Standards: Non-static method Soojung::addReferer() should not be called statically in /home/lifthrasiir/sites/sapzil.info/soojung/settings.php on line 79

Warning: Cannot modify header information - headers already sent by (output started at /home/lifthrasiir/sites/sapzil.info/soojung/settings.php:79) in /home/lifthrasiir/sites/sapzil.info/soojung/classes/Counter.class.php on line 63

Strict Standards: Non-static method Entry::getEntry() should not be called statically in /home/lifthrasiir/sites/sapzil.info/soojung/entry.php on line 51

Strict Standards: Non-static method Soojung::entryIdToFilename() should not be called statically in /home/lifthrasiir/sites/sapzil.info/soojung/classes/Entry.class.php on line 182

Strict Standards: Non-static method Soojung::queryFilenameMatch() should not be called statically in /home/lifthrasiir/sites/sapzil.info/soojung/classes/Soojung.class.php on line 55
TokigunStudio3 | 블로그: 제로보드 취약점 곧 공개할 예정.

내용으로 바로 넘어 가기


TokigunStudio3

1 / 3283   


더 이상 이 블로그는 운영되지 않습니다. 새 블로그로 가 주세요.

제로보드 취약점 곧 공개할 예정.

2005/01/21 PM 11:38 | 개발 | 11 comments | 0 trackbacks | AllBlog: vote, to pocket

1년 넘게 방치되어 온 취약점을 공개할 예정이다. 도대체 제로보드가 언제 패치될 지 기다릴 수도 없고 해서 그냥 취약점 전체를 완전히 공개해 버릴 생각이다. 혹시나 모를까, 공개 전에 제로보드가 패치되면 공개하지 않을 수도 있지만, 그럴 가능성은 매우 낮다고 보기 때문에 일정에 별 차질은 없을 것 같다.

공개 일시는 2005년 1월 23일 자정(즉, 지금부터 약 24시간 반 후)이다.

TrackBack URL: http://sapzil.info/soojung/trackback.php?blogid=322

Comment: 인클루드 (2005/01/22 AM 12:39)

와! 토끼군님, 결국 결단을 내리시는군요!
멋있어요 ;ㅁ;

Comment: 토끼군 (2005/01/22 AM 12:45)

인클루드: 언젠가 발표하겠다는 생각은 가지고 있었습니다. :) 어차피 1년 먹은 버그니 exploit도 함께 발표할 생각입니다.

Comment: 믹스 (2005/01/22 AM 01:15)

개인적으로는 엠바고;를 요청하고 싶습니다만 제가 결정할 내용이 아니기에 그저 방관하렵니다. 한가지, pl5는 임시 물막이였고 제로님게서 정리를 한번 하겠다는 계획을 내비추신 바 있다는 건 알려드리려 합니다. 그게 언제라고 확실히 말씀드릴 수 없다는 점이 안타깝긴 합니다만..

Comment: 토끼군 (2005/01/22 AM 02:28)

믹스: 음 일단 안녕하세요. ;;; 오랫만입니다...

엠바고라... 그렇다고 무조건 방관할 수만은 없는 일 아닐까요. 결국 밝혀지는 게 서로에게 이익이 되지 않을까 싶습니다.
최근 외국 보안 업체들에서 공개한 버그들은 뭐 잘 아시겠지만 이미 국내에서는 쉬쉬 하면서 잘만 알고 있던 내용들입니다. 하지만 버그를 계속 가린다고 해서 문제가 해결되는 건 아닙니다. 제가 발견한 버그는 아직 많은 사람들한테 알려진 건 아니지만, 언제 다른 사람이 발견하지 못 하라는 법도 없잖습니까.

그리고, 저는 이미 여러 번 이 문제에 대해서 언급한 바가 있으며, 특히 엔지오에서도 한 번 시한폭탄 던지려다 말고 패치를 올렸었지요. (근데 지금 생각해 보니까 자유게시판에다 패치를 올린 건 실수였던 것 같습니다. 많은 사람들이 보질 못 했으니깐요) 그런데 당시에 답변받은 쪽지와 메일에서 빠른 시일 내에 고치겠다는 것이 한 달, 두달을 넘으면서 전 정신적으로 지쳐 버린 겁니다.
사실 저한테는 "에라 될 대로 되라지"하고 공개를 해도 상관 없는 일이기 때문에 (전 매우 이기적인 사람입니다 :D) 작년에 바로 공개해 버려도 되는 것이었지만, 지금까지는 "그래도 밝혀지면 피해 볼 사람 많을 것 같은데..."라는 생각으로 기다리고 있었던 것 뿐입니다. 그러다가 계속 쉬쉬 하고 있던 injection 버그들이 갑자기 마구 공개되면서 갑자기 4.1 pl5도 나오고 하는 상황에서, 지금이라도 공개하지 않으면 안 되겠다는 생각에 결국 공개할 생각을 하게 된 것입니다. 바로 공개하지 않고 24시간이라는 limit를 둔 이유는, 역시 다른 사람들의 생각도 들어 볼 필요가 있어서겠지요.
물론, exploit은 아주 간단한 원리만 공개하고 때려 치울 생각입니다. (script kiddie 같은 인간들이 악용하는 건 저도 싫거든요.)

그나저나 그 문제의 "정리된 버전"은 언제 나올 지 참 기대(?)가 됩니다. 열심히 작업 중이라는 얘기는 저도 봤습니다만... 한 때 제로보드를 사용했던 사용자이고, 지금은 저 또한 php 프로그래밍을 하고 있는 상황에서 잘 되었으면 좋겠네요. (물론 빨리 나오면 좋겠지만 -_-; 작업 상황이라도 보여 줬으면...)
그리고 또 하나... 개인적으로는 제로보드의 저작권이 좀 완화되었으면 하는 마음이 있습니다. 예전에 이 블로그에도 올렸지만 제로보드의 저작권 -- 부분 배포의 금지 -- 은 제로보드를 고쳐서 좀 더 좋은 기능을 추가해 배포하려는 사용자들에게 상당한 걸림돌이 되고 있는 듯 합니다. (제가 잘못 본 걸지도 모르지요 :) 심지어 이번 4.1 pl5에서도 여전히 두 종류(맞나?)의 버그가 해결되지 않자 이 저작권 조항을 다 때려 치우고 비공식적으로 4.1 pl6을 만들어서 배포하는 사람들이 꽤 많은 것 같은데, 이런 경우를 위해서라도 얼마정도 고쳐야 할 필요는 있을 것 같습니다.
제가 이런 말 한다고 해서 해결될 문제는 아니라는 건 잘 알고, 저작자의 권리를 일부 포기한다는 것이 저작자 입장에서는 여러 가지로 고민되는 거라는 건 훨씬 더 잘 압니다. (포기..한다는 말이 적당할런지는 모르겠네요.) 하지만 적어도 한 때는 우리나라에서 지배적으로 사용되었던 프로그램이기에, 저작자는 자신의 권리 뿐만 아니라 그 프로그램에 대해서 "눈꼽만큼이라도" 책임을 가지고 있어야 한다고 생각합니다. (새로운 기능의 추가는 불가능하더라도, 해법이 알려진 문제에 대해서는 고쳐서 배포할 정도의 책임을 말합니다.) 이게 제가 제로보드 저작권에 대해서 가장 못마땅해 하는 것이고요. 아는 분과 이 얘기를 하다 보니까 "바쁜 건 말이 되는데 바빠서 못 하겠다면 도의적으로는 차라리 다른 사람한테 맡겨야 하는 거 아니냐"고 반문하실 정도더군요. 지금 상황으로 봐서는 그렇게 돌아 가는 것 같아 보이기도 하는데, 그것도 제대로 안 된다면 적어도 다른 사람이 패치 올린다던지 하는 것에 저작권이라는 제재를 거는 건 별로 바람직한 게 아니라고 봅니다.

음... 제가 써 놓고 나서도 헷갈리는 군요. 썼다가 지웠다가 썼다가 지웠다가를 세 번 정도 반복했는데, 제가 말하고자 하는 바를 제대로 적은 건지 잘 모르겠습니다. 아무튼 좋은 밤 보내세요. :)

Comment: azurespace (2005/01/22 AM 04:28)

어이, 그거 공개했다간 다 날아갈 거야..

Comment: 안데르센 (2005/01/22 AM 10:16)

제로보드 사용자들의 많은수가 ftp랑 html도 제대로 못만지는
일반인들이라는게 약간 걸리긴 하지만...
몇년전의 인터넷 대란처럼 한번 대박나봐야지 웹프로그램도
보안이 중요하다는 의식이 번지겠죠...

개인적으로는 지지합니다.
폭탄을 터뜨려보세요.

Comment: 토끼군 (2005/01/22 PM 12:29)

azurespace: 다시 말하지만 지금 공개하는 이유는, 제로보드의 보안 버그가 잇달아 발표되는 시점이기 때문이야. 이미 이것 때문에 4.1 pl5도 나오고 해서 사람들이 제로보드 자체에 상당한 수의 버그가 있다는 걸 인식한 상태기 때문에, 내가 버그 발표하고 패치 발표했을 때 사람들이 따라 줄 가능성이 더 높다는 거지.
안데르센: 제로보드를 직접 설치했다면 적어도 ftp는 사용할 줄 안다고 생각합니다. 그냥 제로보드 저작권 무시하고 패치를 올릴 생각이기 때문에 ftp를 조금만이라도 쓸 수 있다면 패치 자체는 어렵지 않을 거라 생각합니다.

Comment: 믹스 (2005/01/22 PM 02:46)

자세한 얘기는 유구무언이네요. 어쨌든 비공식 패치에 대한 부분은 아마 별 크레임이 걸리오지 않을 거라 생각합니다.

Comment: 토끼군 (2005/01/22 PM 03:49)

믹스: 이 상황에서라면 당연히 그렇겠죠. :)

Comment: litconan (2005/01/22 PM 11:33)

글을 쓰려고 하는데 'azurespace'라는 분의 정보가 들어있네요. 이메일과 URL에도.. 대체 뭐지 -┌

덕분에 쓰려던 덧글 까먹었습니다. 그냥;; 제게도 미리 알려주세요. @@

Comment: 토끼군 (2005/01/22 PM 11:37)

litconan: soojung 0.4.3의 캐시 기능 버그입니다... 고쳤다고 생각했는데 종종 또 재발하는 경우가 있더군요. orz;;; 다시 써 주시면 감사하겠사와요. =3=33 (어차피 30분 후에 공개할 건데 뭐...)

Copyright (c) 1995-2005, Kang Seonghoon (Tokigun).