포럼
XE 1.7.3.4버전..
2013.10.11 01:11
아무래도 얼마전에 XE 1.7.3.6 현 최신버전으로 업데이트 해봤습니다. 기존에 만들고 있던 모듈이 이상하게 ~3.6버전에서 작동을 안하더군요... curl 또는 simplexml 이용해서 json 또는 xml 데이터를 받아오는것이였습니다. 두부분다 최신버전에서만 작동을 안해서 아무리 만져도 해결법이 안나와서 1.7.3.4버전으로 다운그레이드 할까합니다.
아무래도 보안패치다 보니 걱정되는 부분도 있는데요, 치명적일 정도로 큰 문제인가요?
저도 가급적 최신버전 사용하고 싶습니다만, 일단은 모듈부터 다 완성하고 차차 생각해야할듯하네요 ㅠㅠ
댓글 8
-
리크스
2013.10.11 01:35
-
스비라
2013.10.11 01:42
그렇군요 감사합니다.^^
-
도라미
2013.10.11 01:41
1.7.3.6 (1.7.3.5)에서는 관리자권한 탈취 방어 CSRF코드와, 설문조사 모듈의 XSS패치가 적용되었습니다. 참고바랍니다.
-
스비라
2013.10.11 01:43
음 탈취가 어떤식으로 진행되는건가요?
현재 제작중인 모듈로는 일반적인 방법으로 로그인은 할 수 없고 스팀 openid 인증을 통해서만 로그인이 가능하게 변경됩니다.
-
도라미
2013.10.11 01:46
자세하겐, 맴버모듈의 member.admin.controller.php 에 코드가 추가된거밖에 없습니다..
그 모듈이 member.admin.controller.php와 연관이 있다면, 오류가 발생할 가능성이 있어보이네요..
-
스비라
2013.10.11 01:52
아하.. 아무래도 멤버모듈을 이리저리 많이 사용하게 되어서 그런가보네요.
-
컴토피아
2013.10.11 15:43
3.4 와 3.6 간의 SVN diff 찍어보시면 개발에 많은 도움이 되시리라 생각됩니다 :)
-
스비라
2013.10.11 22:17
감사합니다. 해결은 한 상태긴 한데, 너무 편법을 쓴듯해서 다음에 제대로 천천히 정리해야할듯하네요.
일반 php를 이용하면 잘되는부분이 xe의 모듈로 만들면 안되는 부분들이 조금있어서 아직 제가 내공이 부족한가봅니다.
제가 보기에는 보안 관련 패치로는 설문조사 모듈의 XSS, CSRF 관련 패치가 이루어졌습니다.
다운 그레이드를 하신다면 설문조사 모듈은 사용하지 않음이 좋을 듯 하네요.