Blog
릴리즈 노트 [보안패치] XE 1.11.6 버전 배포 안내
2019.10.22 19:05
XpressEngine Core 1.11.6 버전을 배포합니다.
이 버전에서는 보안취약점을 고쳤으니 모든 운영 중인 웹사이트에 업데이트를 권장합니다.
서버의 PHP 7.2 업그레이드 시 주의 사항
이 배포본에서는 PHP 7.2에 대한 호환성 문제를 고쳤으나,
PHP 7.2 이상의 환경에서는 PHP 7.2에 대응하지 않은 확장 기능 사용시에 문제를 겪을 수 있으므로
PHP 7.2 이상에서는 확장 기능 사용 시 주의 하시기 바랍니다.
관련 정보는 https://www.xpressengine.com/devlog/23249915 에서 찾아볼 수 있습니다.
Core 업데이트 주의 사항
- 실 사이트에 적용하시기 전에 실 사이트와 유사한 환경을 갖추고 이상이 없는지 확인하시길 권고합니다.
- 업데이트 전 관리자 로그인 상태로 관리페이지를 열어두시고 진행하시길 권고합니다.
- 업데이트 후 대시보드에서 각 모듈의 DB 생성 및 업데이트 버튼을 누르세요.
- 업데이트 순서는 'menu > module > 기타 모듈'순서로 해 주시기 바랍니다.
- 업데이트 후 관리페이지 우측 하단의 캐시파일 재생성으로 cache를 갱신하셔야 합니다.
- 1.4 및 1.5 버전에서 업데이트하는 경우 데이터 양에 따라 시간이 많이 소요될 수 있으며 서버 환경에 따라 업데이트에 실패할 수 있습니다.
- 다음 문서를 참고하여 데이터 백업 후 진행하시길 권고합니다.
- http://www.xpressengine.com/22674246
문제 발견 시 알려주세요
이 버전에서 발견된 문제는 XE Core 프로젝트 페이지에 이슈를 작성해주시기 바랍니다.
[종료됨] 신규 보안 취약점 포상제
포상제가 종료되었으며, 아래 내용을 참고해주시기 바랍니다.
https://www.xpressengine.com/devlog/23308042
많은 분들이 공헌해주셨습니다
XE는 자유소프트웨어로서 공개 프로젝트로 운영하고 있습니다.
XE Core 프로젝트 페이지에서 버그 보고 및 개선 제안과 개발에 참여할 수 있습니다.
XE 1 미리보기
XE Demo에서 XE 1을 미리 사용해볼 수 있습니다.
초기 설치 상태 그대로의 모습으로 최고관리자 권한을 이용해 쉬운설치 및 XE 1의 모든 기능을 체험해볼 수 있습니다.
다운로드
XE Core 다운로드 페이지에서 XE 최신 버전을 다운로드할 수 있습니다.
이 버전의 직전 버전을 사용 중이신 경우 변경된 파일(파일명에 'changed'가 포함된 파일)만 내려받아 업데이트할 수 있습니다.
변경 내역
보안
- XEVE-19-008 보안취약점 고침
- adm1nkyj님(http://adm1nkyj.kr / ENKI-https://enki.co.kr)께서 취약점을 제보해주셨습니다
- XEVE-19-009 보안취약점 고침
- adm1nkyj님(http://adm1nkyj.kr / ENKI-https://enki.co.kr)께서 취약점을 제보해주셨습니다
문제 해결
- #2397 본문 내 링크 클릭 시 크롬 브라우저에서 팝업 차단되는 문제 고침
- #2408 글쓰기에서 '미리보기' 기능에서 HTML 소스로 보여지는 문제 고침
- @sejin7940 님이 패치를 제공해주셨습니다
- #2414 휴지통에 담긴 글을 볼때 HTML 소스로 보여지는 문제 고침
- @sejin7940 님이 패치를 제공해주셨습니다
- #2393 애드온 목록을 가져올 때 허용되지 않는 형태의 애드온 폴더 이름을 가진 애드온이 표시되지 않도록 고침
- #2387 CAPTCHA 애드온에서 브라우저 콘솔에 'net::ERR_UNKNOWN_URL_SCHEME' 메시지가 표시되는 문제 고침
- #2385 파일 첨부 필터에서 PHP 모듈 호환성 문제로 파일 업로드가 되지 않을 수 있는 문제 고침
- [2019/04/02] Blog [보안패치] XE 1.11.5 버전 배포 안내 *6
- [2019/03/26] Blog [보안패치] XE 1.11.4 버전 배포 안내
- [2019/03/25] Blog [보안패치] XE 1.11.3 버전 배포 안내 *2
- [2018/12/18] Blog [보안패치] XE 1.11.2 버전 배포 안내 *1
- [2018/10/17] Blog XE 1.11.1 버전 배포 안내
댓글 2
-
XE
2019.10.23 00:13
-
YJSoft
2021.08.11 11:34
https://github.com/kijin/xe-core/archive/refs/heads/hotfix/20210622.zip
1.11.6 버전은 API를 통해 익명글 작성자 정보 확인이 가능한 취약점이 있으므로 위 버전 사용을 권장합니다.
이번 버전의 변경된 파일의 묶음(xe.1.11.6.changed.*)은 저작권 표기 변경으로 단순 문자열이 변경된 파일이 다수 포함되었습니다.
sejin7940님의 문의에 대한 답변을 여기에 추가로 남기자면, 아래와 같이 동작에 영향이 없는 파일 변경을 제외한(저작권 표시만 변경한 파일 제외) 파일만 추출할 수 있습니다.
`git archive -o changed.zip 1.11.6 $(git diff 1.11.5..c3355a7a5 --name-only) $(git diff 6c018e0e2..1.11.6 --name-only)`
git-archive 명령을 이용해 저작권 표기 변경 커밋을 제외한 변경사항만 zip 파일로 묶어줍니다.
이를 통해 생성한 파일을 여기에 남기지만 정확히 기능에 영향이 없는 파일이 제외되었는가는 확인되지 않았으므로 가능한 https://github.com/xpressengine/xe-core/releases/tag/1.11.6 페이지의 changed 파일을 사용하시기 바랍니다.
changed.zip