릴리즈 노트 1.5.3.4 보안 패치 배포
2012.11.22 14:33
XE1.5.3.3에서 발견된 일부 오류와 보안 패치가 포함된 Core를 배포 합니다.
(r12017, r12020, r12278)
수정사항
- Webshell 방어코드 추가
- XSS 방어코드 추가
보안패치된 내용은 아래 링크에서 확인하실 수 있습니다.
직접 수정해 주실 경우에는 다음 부분을 수정해 주시면 됩니다.
1. ./modules/document/document.admin.view.php 파일
61번째 라인 다음에 다음 코드 추가.
$oSecurity = new Security();
$oSecurity->encodeHTML('document_list..variables.');
2. ./modules/install/install.admin.controller.php 파일
153번째 라인을 다음 코드로 수정
if(preg_match('/(<\?|<\?php|\?>|fputs|fopen|fwrite|fgets|fread|\/\*|\*\/|chr\()/xsm', preg_replace('/\s/', '', $val)))
=================================================================================================================
1.4.5.X사용자가 1.5.0 이상 버전으로 업데이트를 하는 경우에는 반드시 관리자 제어판에 노출되는 모든 모듈업데이트를 완료 후 서비스 이용하시기 바랍니다.
(업데이트시 모듈 업데이트 미 완료로인해 로그인화면이 노출되지 않는 이슈가 발생할 수 있사오니, 가급적 관리자 로그인 상태에서 코드 업데이트를 하시기를 권장합니다.)
실서비스에 1.5.0 이상 버전을 적용하고자 하는 사용자는 반드시 DB및 코드 백업 이후 진행