Blog

  2. Blog

XE 1.4.0.10 보안패치 배포합니다.

2010.03.17 10:39

XE

HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.


보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.


이 중 변경된 파일 적용과 코드 수정법을 공지합니다.


1. 변경된 파일만 적용

    xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.

    이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.


2. 소스 코드 수정

    ./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.


$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);


이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.

Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.

이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
XE 1.4.0.10 보안패치 배포합니다. [11] file 2012.08.16 by vibram shoes 2010.03.17
MS와 XE가 함께하는 다락방 서버 소개드립니다. [39] [2] 2012.09.03 by Nike Mercurial Vapor 2010.03.12
빠르고 정확한 검색, Syndication 모듈 배포 [13] 2012.08.16 by vibram five fingers 2010.03.05
XE Core 1.4.0.7 배포 (보안패치) [22] 2012.08.16 by vibram five fingers 2010.02.23
XE Core 1.4.0.4 배포하였습니다. [15] 2012.08.16 by vibram five fingers 2010.02.05
1.4.0 배포하였습니다. [31] 2012.08.16 by vibram five fingers 2010.01.28
XE 1.4.0 RC#3 배포하였습니다. [29] 2012.08.16 by vibram five fingers 2010.01.20
XE 1.3.1.2 배포하였습니다. [32] [1] file 2012.08.16 by vibram five fingers 2009.12.21
XE 파트너 소개가 추가되었습니다 file   2009.12.18
XE Camp 스케치 영상 [2] [1] 2013.01.08 by Apollos2304 2009.12.04
Textyle 1.0 버전을 배포합니다. [4] 2012.08.16 by vibram five fingers 2009.11.12
XE Core 1.3.0 배포를 시작합니다 [43] [1] 2012.08.16 by vibram shoes 2009.11.11
XE 공모전을 개최합니다! [8] file 2012.08.16 by vibram five fingers 2009.10.29
XE 캠프에 참석해주셔서 고맙습니다! [18] [3] file 2012.08.16 by vibram five fingers 2009.10.26
XE CAMP 참가자 메일확인 바랍니다 [10] [1] file 2012.08.16 by vibram five fingers 2009.10.21
Textyle v1.0b 배포를 시작합니다 [9] file 2012.08.16 by vibram five fingers 2009.10.13
XE Core 1.2.6 배포 하였습니다. [REV1] [26] 2012.08.16 by vibram five fingers 2009.10.13
1.4.4   2010.09.28
1.4.3.1 [5] file 2012.08.16 by vibram five fingers 2010.08.25
1.4.3 [2] 2012.08.16 by vibram five fingers 2010.07.06
태그 쓰기