Blog

  2. Blog

XE 1.4.0.10 보안패치 배포합니다.

2010.03.17 10:39

XE

HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.


보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.


이 중 변경된 파일 적용과 코드 수정법을 공지합니다.


1. 변경된 파일만 적용

    xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.

    이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.


2. 소스 코드 수정

    ./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.


$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);


이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.

Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.

이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
공식사이트 이전 완료하였습니다. [62] 2012.08.16 by vibram shoes 2009.03.06
서버 이전 예정 공지입니다. [29] 2012.08.16 by vibram five fingers 2009.03.02
XE 1.2.0의 완성도를 높이기 위한 배포 일정 연기 [111] 2012.08.16 by vibram five fingers 2009.02.16
XE 오픈 소스 프로젝트 모임 결과 알림 [12] [1] 2012.08.16 by vibram five fingers 2008.07.27
참석해주신 분들 모두 감사했습니다. [8] 2012.08.16 by vibram shoes 2008.07.27
제 세션 사전 질문 받습니다 @_@ [4] 2012.08.16 by vibram five fingers 2008.07.04
[마감] 주차증 요청받습니다. [11] 2012.08.16 by vibram five fingers 2008.06.26
1차 모임 일자 및 장소 안내 [6] 2020.03.14 by vibram five fingers 2008.06.25
첫번째 모임에 대한 의견입니다. [8] 2012.08.16 by vibram five fingers 2008.06.24
첫 모임 의견 주세요. [7] 2012.08.16 by vibram five fingers 2008.06.23
공식 사이트 작은 개편을 하였습니다. [13] 2012.08.16 by vibram five fingers 2008.01.25
파일 첨부가 되지 않던 문제 해결하였습니다. [8] 2012.08.16 by vibram five fingers 2008.01.21
차후 진행 내역에 대해서 공유합니다. [60] [1] 2020.03.14 by vibram five fingers 2007.12.31
새해 복 많이 받으세요~ ^^ [32] 2012.08.16 by vibram five fingers 2007.12.28
서버에 이상이 생겨 잠시 사이트 운영이 중단되었습니다. [18] 2012.08.16 by vibram five fingers 2007.12.26
제로보드XE 데이터 이전 개발 완료되었습니다. [11] 2012.08.16 by vibram five fingers 2007.12.21
제로보드XE의 문서화 작업 지원 부탁드립니다. ^^ [12] 2012.08.16 by vibram five fingers 2007.12.12
제로보드XE 배포 방식을 살짝 변경하도록 하겠습니다. [75] 2012.08.16 by vibram five fingers 2007.11.12
제로보드4 보안 취약점 패치 다시 올렸습니다. [19] 2012.08.16 by vibram five fingers 2007.11.07
차후 진행 예정에 대한 공지입니다. [28] 2012.08.16 by vibram five fingers 2007.11.05
태그 쓰기