Blog
XE 1.4.0.10 보안패치 배포합니다.
2010.03.17 10:39
HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.
보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.
이 중 변경된 파일 적용과 코드 수정법을 공지합니다.
1. 변경된 파일만 적용
xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.
이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.
2. 소스 코드 수정
./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.
$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);
댓글 11
-
글문
2010.03.17 12:49
수정된 파일 다운 받아서 업그레이드 마쳤습니다...수고에 감사드립니다...
-
소 울
2010.03.17 14:33
항상 수고하시네요....^^ 감사드립니다~
-
Ed830
2010.03.17 14:42
패치 했습니다. 감사합니다.
-
헐 ㅡㅡ; 벌써 HTML5가지고 이런 짓을.. 수고하십니다.
-
하이슈
2010.03.18 11:05
패치 햇습니다^^ 감사드립니다. ^^
-
Yong Dal
2010.03.18 23:37
패치했어요.
감사드려요^^
-
강지영847
2010.03.20 15:23
역시 XE!!!
쉬운설치로 클릭 몇번만에 패치했어요!!
감사합니다~*^^*
-
홍정오
2010.03.25 16:46
패치 후 Textyle에서 새글 작성 시 이미지, 동영상등이 정상적으로 입력되는데, 발행 버튼 을 누르고 해당 페이지로 가면 1초 정도 내용이 보였다가 사라져 버립니다..에디터 문제 일까요..패치와 Textyle의 충돌일까요? 제발 해결좀..부탁드려요..
-
아트맨
2010.03.30 19:50
패치했습니다.
감사합니다.
-
원형일
2010.03.31 09:44
패치후 몇가지 모듈이 정상 작동을 안하네욤.@_@
이럴때 새삼 느끼는 거지만...
XE가 구조적으로 참 잘 짜여진듯 합니다.
제가 정확히 몰라서 하는 소리일수도 있으나...
아무튼 위 한줄만 고치면 xe로 만들어진 사이트는 보안 패치가 완료되니깐요...
예전 같았으면... 뒷감당 안될수도 있지 않을까 라는 생각이...-_-;