XE 1.4.0.10 보안패치 배포합니다.
2010.03.17 10:39
HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.
보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.
이 중 변경된 파일 적용과 코드 수정법을 공지합니다.
1. 변경된 파일만 적용
xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.
이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.
2. 소스 코드 수정
./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.
$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);
이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.
Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.
이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.