Blog
릴리즈 노트 [보안패치] XE Core 1.8.39 버전 배포 안내
2017.05.31 17:31
XpressEngine Core 1.8.39 버전을 배포합니다.
이 버전은 보안취약점이 고쳐졌으며, 알려진 취약점이 있으므로 업데이트를 권장합니다.
알려진 취약점으로인해 비밀 또는 중요 정보가 노출 될 수 있습니다.
Core 업데이트 주의 사항
- 실 사이트에 적용하시기 전에 실 사이트와 유사한 환경을 갖추고 이상이 없는지 확인하시길 권고합니다.
- 업데이트 전 관리자 로그인 상태로 관리페이지를 열어두시고 진행하시길 권고합니다.
- 업데이트 후 대시보드에서 각 모듈의 DB 생성 및 업데이트 버튼을 누르세요.
- 업데이트 순서는 'menu > module > 기타 모듈'순서로 해 주시기 바랍니다.
- 업데이트 후 관리페이지 우측 하단의 캐시파일 재생성으로 cache를 갱신하셔야 합니다.
- 1.4 및 1.5 버전에서 업데이트하는 경우 데이터 양에 따라 시간이 많이 소요될 수 있으며 서버 환경에 따라 업데이트에 실패할 수 있습니다.
- 다음 문서를 참고하여 데이터 백업 후 진행하시길 권고합니다.
문제 발견 시 알려주세요
이 버전에서 발견된 문제는 XE Core 프로젝트 페이지에 이슈를 작성해주시기 바랍니다.
신규 보안 취약점 포상제
XE의 보안취약점의 빠른 발견과 해결을 위해 신규 보안취약점에 대한 신고 포상제를 시행합니다.
그동안 XE 보안취약점은 한국인터넷진흥원(KISA)를 통해 접수되어 통보받는 형태로 운영되어 왔습니다.
하지만 신고자와의 긴밀한 연락이 불가하고, 신고자의 정보를 파악할 수 없어 오픈소스 소프트웨어의 공헌자로서 그 이름을 알리지 못했었습니다.
지속적으로 보안 취약점을 발견하고 해결해나가기위해 자체적인 보안 취약점 신고 절차와 신규 보안 취약점 신고자에 대한 포상제를 시행합니다.
보안 취약점 신고 포상제 페이지를 통해 보안 취약점의 신고 절차를 확인할 수 있습니다.
많은 분들이 공헌해주셨습니다
XE는 자유소프트웨어로서 공개 프로젝트로 운영하고 있습니다.
XE Core 프로젝트 페이지에서 버그 보고 및 개선 제안과 개발에 참여할 수 있습니다.
XE 1.8 미리보기
XE Demo에서 XE 1.8을 미리 사용해볼 수 있습니다.
초기 설치 상태 그대로의 모습으로 최고관리자 권한을 이용해 쉬운설치 및 XE 1.8의 모든 기능을 체험해볼 수 있습니다.
다운로드
XE Core 다운로드 페이지에서 XE 최신 버전을 다운로드할 수 있습니다.
이 버전의 직전 버전을 사용 중이신 경우 변경된 파일(파일명에 'changed'가 포함된 파일)만 내려받아 업데이트할 수 있습니다.
변경 내역
Secutiry
- [2019/10/22] Blog [보안패치] XE 1.11.6 버전 배포 안내 *2
- [2019/04/02] Blog [보안패치] XE 1.11.5 버전 배포 안내 *6
- [2019/03/26] Blog [보안패치] XE 1.11.4 버전 배포 안내
- [2019/03/25] Blog [보안패치] XE 1.11.3 버전 배포 안내 *2
- [2018/12/18] Blog [보안패치] XE 1.11.2 버전 배포 안내 *1
댓글 5
-
우랑탕탕이
2017.05.31 22:26
-
우랑탕탕이
2017.05.31 22:29
테스트 사이트는 5개 입니다
모두 같은 증상 입니다
저만 그럴수도 있습니다
문제 증상 사진 입니다
참고 바랍니다
-
앞서 언급된 회원가입 폼의 추가 기능도 그렇고
exec_xml 등과 같이 ajax 형태로 전달 후 response 로 받은 값이
html 형태인경우, script 로 재전달될때 전달값이 마치 htmlspecialchars 처리된것처럼 전달이 되어..
script 에서 .html() 등으로 처리할 경우 그냥 html 소스 자체가 나오게 되네요.보안등의 이슈때문에 일부러 이렇게 해두신건가 했는데...
Core 에서도 같은 현상으로 깨지는걸보니, 의도적으로 처리한건지, 버그가 된건지 애매하네요.
어느 방향이든 통일적으로 개선처리가 되어야겠네요
저도 만들어둔 메신저가 이것때문에 완전히 박살이 나서요 ^^;;
일단은 임시적으로 decodeEntities script 함수등을 이용해 다시 풀어버리면 되긴하는데..
이번건 꽤 큰 이슈여서 ( 모듈에 따라서 출력값이 다 html 로 나오는 경우가 생기고 있어요 ^^; ) 빠른 업데이트 부탁드립니다.
그리고 이번 업데이트는 왠만하면 진행 안 하시는게 좋을듯합니다 ^^;;
( 다음 업데이트가 나온 후에 하셔야할거예요 ) -
우랑탕탕이
2017.06.01 16:23
저도 답답 합니다 ㅎ
하루 빨리 이부분이 좋아 젔으면 합니다
-
장년
2017.06.01 19:09
제가 1834버전을 사용하고 있었는데요.
1836으로 업하니 아예 사이트가 안나오고 백지상태에 에러메세지만 나오더군요.
그래서 계속해서 1837로 업하니 사이트는 나오는데, 아래 이미지 처럼 웹, 모바일 다 같이 레이아웃에 메뉴가 안나옵니다.
웹 레이아웃은 스케치북 레이아웃이구요. 모바일은 xe 기본 레이아웃입니다.
그리고, 1837 업후 관리자 페이지에서 캐시파일 재생성을 누르면 수정했다는 확인창도 안나옵니다.
확인창이 안나오니 캐시파일이 재생성이 되었는지 안되었는지 알수도 없고... 일단 가장 쉽게 보이는 에러는 이정도 인데요.
계속해서 1838로 업해도 마찬가지 입니다.
1839 풀파일로 몽땅 덮어씌워 봤는데, 저는 캐시파일 재생성 이게 일단 문제인것 같네요.
다른 에러가 또 있는지는 상세히 훑어보지 않아서 모르겠구요.
게시판 정보에서 레이아웃을 새로 설정하면 메뉴가 나오더군요. 그런데
관리자페이지에서 캐시파일재생성 이걸 하면 수정했다는 확인창도 안나오고 메뉴도 안나오는군요.다시 1834로 백은 했습니다만... 수고하세요.^^
같은 증상 입니다 깨지는군요
고생 많으십니다