XE 1.3.1.2 배포하였습니다.
2009.12.21 20:34
한국인터넷진흥원 (KISA)에서 CSRF관련 보안 취약점을 알려주셔서
관련 내용이 패치된 1.3.1.2 버전을 배포하였습니다.
Core 1.3.1.1에서 해당 패치(sandbox에는 [7063])만 추가된 버전입니다.
플래시를 이용한 CSRF공격을 막기 위해, 관리자 권한이 있는 아이디로 로그인 되어있을 경우에는
비관리자 아이디에서 올린 embed 파일 혹은 multimedia_link 컴포넌트를 이용한 자료의 해당 부분을 보이지 않도록 수정하였습니다.
조금 불편하시더라도 보안을 위한 최소한의 조치로 생각해주시면 감사하겠습니다.
쉬운 설치를 이용해서 업그레이드 하실 수 있도록 자료실에 올려놓았습니다.
혹은, 다운로드: [링크]
에서 받으실 수 있고,
1.3.1.1을 사용하시는 분들께서는 xe.1311.to.1312.tar.gz 를 받으셔서 적용하셔도 됩니다.
더 안전한 XE를 만들 수 있도록 노력하겠습니다. (__)
감사합니다.
댓글 32
-
황제커뮤니티
2009.12.21 21:07
수고하셨습니다 감사합니다. -
쉬운설치 눌렀더니 설치 끝났다고 떠서 빠져나오니 홈페이지가 하얀 바탕만 나오네요.ㅜㅜㅜ
어찌 복구해야 할지 .... -
admin으로도 접근이 안되시나요?-
캐시파일 재생성을 한번 해보시겠어요?
그래도 안되시면 계정정보 주시면 확인해드리겠습니다.
-
FTP로 다시 올리고 확인하니 열리네요~~~ 감사합니다..
-
박하향풍선껌
2009.12.21 22:23
XE는 연말연시도 없나요? ㅋㅋ
고맙습니다. 다들 마시고 놀고 분위기 따질 이 시기에
제로보드 연구에 몰두중이셔서 -
오랜만에 업데이트 되었군요.감사합니다.
-
bncPlan
2009.12.22 00:21
수고하셨습니다
감사합니다.
-
cio0812
2009.12.22 00:47
Good! 한층더 보안에 강화되었군요!!..ㅎㅎ^^
언제나 감사드립니다..^^ -
일등고구마
2009.12.22 00:47
매번 감사합니다..
잘 쓰겠습니다.. -
강성재822
2009.12.22 01:11
1.3.0에서 (1.3.1.1도 그랬지만) 이번 버전으로 갈아타니
관리자페이지에서 setting 접속후 FTP절대경로가 안잡히면서
unexpected error가 일어납니다. 때문에 이러한 버그가 수정되기 전까지는 1.3.0버전에서 머물러야겠군요. -
돈빼뽀네
2009.12.22 09:15
1.3.0 에서 이후 버전이 나올 때마다 여러 번 쉬운 철치로 업데이트를 시도했으나 업데이트가 안 됩니다.
그때마다 홈페이지는 하얀바탕만 나와서 복구만 하고 있습니다. 업데이트를 도와주십시오. ^^
-
이오스
2009.12.22 09:43
Good! 늘 감사하며 사용하고 있어요~^^
ps. 쉬운설치.. 정말 너무너무 좋은거 같아요. -
안녕하세요.
1.3.1.2로 업 한후 부터인지... 아니면 1.3.1.1부터인지 모르겠지만...
카페생성후 '회원목록'을 클릭하니
아래와 같이 나오네요????
어디가 잘못 되었는지
좀 갈켜주시면 많은 도움이 되겠습니다.
부탁드립니다.
-
사노테
2010.01.25 03:11
같은 문제인지 모르겠지만 아무래도 저도 처음 설치하고 생긴 문제라 같은 문제 같아서 같이 공유하고자 따로 정리해 보았습니다.
CafeXE 설치하고 회원목록에서 깨지더라고요. 저는 한글로 나오기는 했지만 결국 위와 비슷한 현상이였습니다.
http://sanote.moring.co.kr/100
참고 하실분들 참고하세요.
-
리사땅
2009.12.22 18:19
저도 불도깨비님과 같은 증상이 일어나서 백업해놓은 것으로 롤백시켰습니다. 캐쉬청소도 해봤는데도 안되더군요.
으음; 우찌 해결해야 좋을런지요
-
Memory~
2009.12.22 21:17
1.3.1.1에서만 발생하는 문제인지 모든 버전에서 발생하는 문제인가요?
업데이트 문제로 최근 버전 사용하지 않고 계시는 분들도 많으실텐데
정확한 발생 버전도 알려주셔야 할 것 같습니다.
-
트루-_-v
2009.12.22 23:50
관리자에서는 비밀번호를 한번 더 입력하면 볼 수 있게 하면 어떨까요?
관리자에서 플래시같은게 아예 보이지 않으니 너무 불편합니다.
-
세죠위그이
2009.12.24 22:40
플래시나 멀티미디어 파일을 보여주기 위해 읽어들이는(혹은 실행하는) 과정에서, 관리자가 로그온 하고 있을경우 권한을 획득할 수 있습니다. 이를 방지하기 위해 관라지 로그온시에는 볼 수 없게(실행되지 못하도록) 조치하는 것입니다. :-)
-
현재 1.3.1.2로 업한 상태입니다.
이전 버전에서는 확인을 못해보고 업한상태라.....
저도 1.3.1.1에서 오류가 나타났는지????? 1.3.1.2를 업한 상태에서 오류가 나타났는지 모르겠습니다.
죄송합니다.
-
파란불꽃
2009.12.23 12:28
쉬운 설치 후 다른 분들 처럼 하얀 화면만 나오는 문제가 발생하였고
FTP로 새로 업로드해도 복구 안되네요. (혹시 업그레이드말고 전체파일을 덮어씌워서 그런가요?)
그리고 게시판의 게시물도 목록만 보이고 읽으려면 읽혀지지 않는 군요.
계정과 증상 쪽지로 하늘03님께 보내드렸는데...
도와주세요. 급합니다. 오전내내 이러고 있네요.
-
우드827
2009.12.23 16:54
저도 불도깨비님과 똑같은 증상이 일어나네요.
나머지 게시물들은 제대로 읽어지는데 몇몇 게시물들이 깨지면서 뜨지않네요.
1.3.1.2에서 에러가 발생하는것 같네요. 그전엔 이렇지 않았거든요
-
zzavoo
2009.12.23 23:04
수고 많으십니다.
도움 좀 부탁 드립니다.
1.2.4에서 이번 버전인 1.3.1.2로 FTP를 통해
다운받은 파일을 전체 업로드 하였습니다.
그 결과는 참담합니다. ㅠ.ㅠ
게시판이 있는 페이지 입니다. http://www.nik.or.kr/xe/announcements
관리자 페이지 입니다. http://www.nik.or.kr/xe/?module=admin
수십번을 재설치해도 해결이 되질 않습니다.
어떻게 하면 될까요.. 도움 좀 주세요~~
-
zzavoo
2009.12.25 11:27
결국 업데이트 못하고 다시 1.2.4로 복구 하였습니다.
-
파란불꽃
2009.12.24 01:13
*************************************************************
일단 버그 수정이 되어서 메인페이지는 뜨네요.
게시판도 정상 작동되구요.
...............
그런데 이번엔 카페가 안되는 군요.
게시물 읽기가 안됩니다.
빠른 복구 부탁드려요.
-
왕초봉
2009.12.24 23:54
하루에 한두번 아파치 로그에 이런게 뜨는데요.. 혹시 연관이 있는가 해서 이곳에도 글을 올려봅니다.
아파치 로그에 이상한 정보와 PHP 메시지 (스팸공격관련일까요?)
하루에 한두번 아파치 로그에 이런게 뜨는데요..
"POST http://lti-mail01.ltinetworks.com:25/ HTTP/1.0" 200 66 "-" "-"
"CONNECT http://lti-mail01.ltinetworks.com:25 HTTP/1.0" 400 315 "-"PHP쪽에도 같은 시각때 이런 경고가 뜨구요..
PHP Warning: parse_url(http:///) [<a href="./function.parse-url">function.parse-url</a>]: Unable to parse url in tmp/sites/xe/classes/context/Context.class.php on line 959
PHP Warning: parse_url(http://www.xpressengine.com/:/) [<a href="./function.parse-url">function.parse-url</a>]: Unable to parse url in tmp/sites/xe/modules/module/module.model.php on line 81혹시 이게 스페머의 공격에 관련된건가요?
Unable to parse url .... 이게 문제가 될까요?
즐거운 성탄되세요.
-
엔키오
2009.12.25 12:36
기존의 1.3.1.1 에서 업데이트된 파일만 패치를 하였습니다.
현재 설치버전에 1.3.1.2 으로 표시되고
정상작동이 잘 됩니다. 수고하셨습니다. 감사합니다.
-
......욤
2009.12.28 21:56
안된다고하는 분들은 많은데 답글로나 공식으로나 해결책이 나오지 않고 있네요..굉장히 불안한 상태로 1.3.1.2로 업로드 중인데
저도 이런 현상이 나타날까봐 겁이 납니다...
-
ChangJo_JJ+
2009.12.30 05:50
1.3.1.2 업그레이드 하고 나서 메뉴를 누르면 요청하신 기능을 실행할 수 있는 권한이 없습니다. 라는 메세지가 뜨네요. 로그인 상태에서는 메세지가 안뜨지만 비로그인 상태에서는 메시지가 뜨네요.
아시는 분이 있으면 죄송스럽지만 가르쳐 주세요~ 감사합니다.
-
ljk
2009.12.30 23:04
XE 1.3.1.2 버전은 메뉴 중에서
보드와 LDAP 인증 연동 모듈 이 없네요??? 보드 설치를 어케 해야 하나요???
-
윤승진704
2010.01.06 11:51
업데이트하니까? 이런문구가?어떻게 수정을 해야할지요...
Parse error: syntax error, unexpected ';' in /www/kimpobus_kr/xe/modules/admin/admin.admin.view.php on line 100
-
홍영삼
2010.01.11 20:30
XE 1.1.3 버전에서 XE 1.3.1.2 버전으로 한번에 업그레이드 하였습니다.
업그레이드 한 후 게시판에서 확장변수로 작성된 내용이 보이지 않았습니다.
그러나 새로운 버전에서는 확장변수를 지원하는 게시판 스킨이 현재 "XE Official" 뿐이군요.
스킨을 변경한 후에 정상적으로 작동하고 있습니다.
확장 변수에 대하여 안내 해준 글이 도움이 되었습니다.
감사합니다..
-
조성근163
2010.01.12 14:59
홈 페이지 1.2.5 에서 순차적으로 1.3.1.2. 로 업데이트 했습니다.
결과 홈페이지가 접속이 되는곳도 있지만 접속이 안되는 곳 도 있습니다.
확인해 본 결과, 일반 php는 열리나 mysql로 쿼리를 해오는 과정이 불안합니다.
계속 시도해 보면 어떨 때는 쿼리가 일부 되기도 하고 어떤때는 아예 백지 상태로 표시됩니다.
난감 합니다.
주소는 http://www.joych.org 입니다.
