Blog

보안 패치가 포함된 Core를 배포 합니다.


(r123000)


수정사항
  • Webshell 방어코드 추가

보안패치된 내용은 아래 링크에서 확인하실 수 있습니다.

http://code.google.com/p/xe-core/source/detail?r=12300

직접 수정해 주실 경우에는 다음 부분을 수정해 주시면 됩니다.


1. ./classes/context/Context.class.php 파일

155번째 라인 var $is_uploaded = false; 다음에 다음 코드 추가.

 * @var bool true if attached file exists
 */
var $is_uploaded = false;

/**
 * Check init
 * @var bool false if init fail
 */
var $isSuccessInit = true;

809 라인 _setRequestArgument() 메소드 시작 부분에 아래 코드 추가.

$pattern = array(
'/<\?/iUsm',
'/<\%/iUsm',
'/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*/iUsm'
);

824 라인 다음 코드를

if($set_to_vars)
{
$val = preg_replace('/<\?.*(\?>)?/iUsm', '', $val);
$val = preg_replace('/<\%.*(\%>)?/iUsm', '', $val);
$val = preg_replace('/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*>.*<[\s]*\/[\s]*script[\s]*>/iUsm', '', $val);
}

아래 코드로 변경

if($set_to_vars)
{
foreach($pattern AS $key2=>$value2)
{
$result = preg_match($value2, $val);
if($result)
{
$this->isSuccessInit = false;
break;
}
}
}



2. ./classes/module/ModuleHandler.class.php 파일

40 번째 라인을 아래 다음 코드로 추가

$this->act = Context::get('act');
return;
}

$oContext = Context::getInstance();
if($oContext->isSuccessInit == false)
{
$this->error = 'msg_invalid_request';
return;
}
// Set variables from request arguments
$this->module = $module?$module:Context::get('module');
$this->act    = $act?$act:Context::get('act');

=================================================================================================================


1.4.5.X사용자가 1.5.0 이상 버전으로 업데이트를 하는 경우에는 반드시 관리자 제어판에 노출되는 모든 모듈업데이트를 완료 후 서비스 이용하시기 바랍니다.

(업데이트시 모듈 업데이트 미 완료로인해 로그인화면이 노출되지 않는 이슈가 발생할 수 있사오니, 가급적 관리자 로그인 상태에서 코드 업데이트를 하시기를 권장합니다.)

실서비스에 1.5.0 이상 버전을 적용하고자 하는 사용자는 반드시 DB및 코드 백업 이후 진행
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
XE 1.5.4.3 보안패치 배포   2013.03.08
XpressEngine Core ver. 1.7.1.0 - Beta [12] file 2013.03.08 by 리소프트 2013.02.21
공식사이트에 XE 1.7을 적용하였습니다. [18] 2020.03.14 by Apollos2304 2013.02.13
[완료]공식사이트 점검 안내 [1] file 2013.02.13 by letpf 2013.02.13
XE 1.7.0 오픈베타 테스트 진행 [22] 2020.03.14 by XE러버 2013.01.29
1.5.4.2 배포 [14] 2013.02.09 by EnterTM 2013.01.16
1.5.4.1 배포 [19] 2013.01.11 by mindpainter 2013.01.02
1.5.4 배포 [11] 2013.01.01 by 바람바바 2012.12.31
1.5.3.8 배포 [10] 2012.12.30 by 샤로우 2012.12.27
XE 1.7에서는 PHP 5.2.4 이상부터 지원됩니다. [12] 2013.02.08 by XE러버 2012.12.12
1.5.3.7 배포 [3] 2012.12.12 by 정샘2 2012.11.30
1.5.3.6 배포 [3] 2012.11.29 by 파표 2012.11.27
1.5.3.5 보안 패치 배포 [2] 2012.12.01 by 멩이123 2012.11.27
1.5.3.4 보안 패치 배포   2012.11.22
XE 1.5.4.beta 배포 [8] 2012.12.31 by 배나온슈퍼맨 2012.11.13
1.5.4(luminous)을 공식사이트에 적용하였습니다. [12] 2012.11.02 by 궁금궁금궁금이 2012.10.17
네이버 Analytics 서비스 개편 소식 전합니다. ^^ [8] file 2012.10.12 by 2donggalbi 2012.10.10
XE 1.5.3.3 배포 [15] 2012.10.23 by 통영지적 2012.09.18
XE 1.5.3.2 배포 [22] 2020.03.14 by 페하 2012.09.13
쉬운설치 서버 작업 공지 [1] 2012.09.11 by ㅇㅅㅇ 2012.09.11