와우해커에 오신것을 환영합니다.


이름	avy	2006-05-11 14:27:12

제목	Adobe Dreamweaver Generated Code SQL Injection Vulnerabilities

click="window.open(this.href);return false;">http://www.securityfocus.com/bid/17928/exploitBugtraq ID:  17928
Class:  Input Validation Error
CVE:  CVE-2006-2042
Remote:  Yes
Local:  No
Published:  May 10 2006 12:00AM
Updated:  May 10 2006 11:14PM
Credit:  Brian Gallagher is credited with the discovery of these vulnerabilities.

세부설명
========
드림위버가 생성한 코드는 SQL-인젝션 취약점이 있다. 이 문제는 생성된 코드에서 사용자-공급 입력값을 SQL 쿼리에 사용하기 전에 적절히 삭제하지 않는 것에 원인이 있다.

성공한 공격은 공격자가 코드를 망가뜨리거나 데이터에 접근 혹은 수정, 또는 데이터베이스 실행 환경에서 취약점을 악용하도록 허락할 수 있다.

해결책
========
벤더는 드림위버 버전 8의 이 문제에 대응하기 위한 버전 8.0.2를 공개했다. 드림위버 MX 2004 사용자들은 다음과 같이 특정한 명령을 이용하여 생성된 코드를 업데이트 할 수 있다. 더 많은 정보를 원한다면 아래 참조된 벤더의 권고를 보기 바란다.

Adobe Dreamweaver 8.0

Adobe dw8_802_update_en.exe
Windows english version
http://download.macromedia.com/pub/dreamweaver/updates/dw_8/8_0_2/win/ dw8_802_update_en.exe

레퍼런스
========
Protecting ASP 자바스크립트 server behaviors from SQL injection vulnerability (Adobe)
Protecting ASP VB스크립트 server behaviors from SQL injection vulnerability (Adobe)
Protecting ColdFusion server behaviors from SQL injection vulnerability (Adobe)
Protecting JSP server behaviors from SQL injection vulnerability (Adobe)
Protecting PHP server behaviors from SQL injection vulnerability (Adobe)
Dreamweaver Homepage (Adobe)
Dreamweaver Server Behavior SQL Injection vulnerability (Adobe)
Brian Gallagher (Multiple SQL Injection Vulnerabilities in Dreamweaver Generated Code)

취약버전
========
Macromedia Dreamweaver MX 2004
Macromedia Dreamweaver MX 2004
Adobe Dreamweaver 8.0


918	FreeFTPd SFTP 키 교환 알고리즘의 .. [3]	innovation	2006.05.18	2575
917	NewsPortal 원격 PHP 스크립트 코드.. [5]	avy	2006.05.17	2003
916	Sun Java JRE 큰 사이즈의 임시 파일.. [5]	innovation	2006.05.17	2919
915	phpMyAdmin "theme"과 "db"의.. [3]	innovation	2006.05.16	1986
914	RealVNC 패스워드 인증 우회 취약점 [5]	innovation	2006.05.16	3623
913	E107 SQL 인젝션 취약점 [3]	avy	2006.05.15	2809
912	wodSSHServer Key 교환 알고리즘 .. [4]	RiceBox	2006.05.13	1955
911	phpBB 다양한 입력값 검증 취약점들	avy	2006.05.12	727
910	Linux Kernel "lease_init(.. [1]	innovation	2006.05.12	1981
909	Symantec Firewall 제품의 내부 .. [5]	innovation	2006.05.12	2052
908	GNU Strings 서비스 거부 취약점 [1]	innovation	2006.05.12	2028
907	Adobe Dreamweaver Generat.. [4]	avy	2006.05.11	2065
906	Microsoft Windows Path Co..	innovation	2006.05.11	596
905	Microsoft Internet Explor..	innovation	2006.05.11	659
904	Intel PROset/Wireless 로컬 ..	innovation	2006.05.11	599
903	Quake 3 Engine Server 정보 .. [7]	avy	2006.05.10	2623
902	마이크로소프트 인포테크 저장 라이브러리 Hea.. [5]	avy	2006.05.10	1828
901	Microsoft Windows MSDTC I.. [1]	innovation	2006.05.10	2160
900	Microsoft Exchange Server.. [5]	innovation	2006.05.10	6607
899	Microsoft Windows MSDTC 힙.. [2]	innovation	2006.05.10	1828