Blog
공지 제로보드4 보안 취약점 패치 다시 올렸습니다.
2007.11.07 17:10
지난 11월 1일 패치한 원격 코드 실행 관련된 부분을 우회하여 다시 침투할 수 있는 취약점을 "패스코리아넷의 빈경윤님"께서 알려주셔서 바로 패치를 하였습니다.
제로보드4 원격 실행 보안 취약점 패치 #2
제로보드4를 사용하시는 분들은 위 링크를 보시고 보안패치를 하여 주시면 감사하겠습니다.
댓글 19
-
jirou
2007.11.07 18:50
-
소마세월
2007.11.07 19:18
땡스 제로님~
몽땅 패치 했음. -
khn8356
2007.11.07 19:25
-
한윤도
2007.11.07 19:51
4등~ -
에메랄드
2007.11.07 19:59
수고하시네요 ^^;
-
이진수닷넷
2007.11.08 03:18
감사합니다. -
64비트
2007.11.08 09:53
감사합니다^^ 패치 했어요~
-
후지모토요시
2007.11.09 18:45
고맙습니다^^~
-
php,cgi어렵네
2007.11.09 21:43
감사합니다 -
ㄴrㄹr
2007.11.11 01:36
먼저 올리셨던것은 반영 안해도 되는건가요??
아니면 두개 다 해야 하는건가요?? -
내만지
2007.11.11 09:44
세션 지우기는 어떻게 하나요??
-
이재희955
2007.11.11 20:53
아~~~
패치하고 나니 '눈사람 현재 접속자'가 오류를 나타내는군요. -
구라박사
2007.11.12 08:40
2개 파일을 알FPT로 덮어쓰기 했습니다.
멤버들 아이콘이 사라졌습니다. 대신 눈사람 모양으로.... 이거 이상타 우짜몬 좋습니까? -
BAD
2007.11.14 17:16
?.?11
-
소피리
2007.11.15 23:24
패치하고 감사합니다. 아가가 많이 컷군요. -
제로메니아
2007.11.27 00:42
-
dvsaf
2007.11.29 15:32
-
111
2007.12.06 08:13
<script language="javascript" type="text/javascript" src="icon/zboard.gif"></script>
보안 취약점 문제가 또 발생하였습니다.
보안패치는 당연히 적용된 상태이나. 다른 부분에 또 취약점이 있는것 같습니다.
해결책을 제시해주세요 -
곰두리
2007.12.16 00:44
관리자님, 제로보드로 조금만 사이트를 운영중인 사람입니다.
위 패치 후에 나의쪽지함에 일부 문제가 발생합니다.
즉, 로그인 후 회원이름을 클릭하면 새창에 '나의 쪽지함'이 나타나는데
이때, Inbox, Sent, UserList/Write 세개의 메뉴중에서
마지막 User List/Write 링크를 클릭하면 SQL관련된 아래와 같은 오류가 나옵니다.
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ');/*'' at line 1
(특히: lib.php파일에서===> zWriteFile($filename, "<? die('Access Denied');/*".$_realNowConnector."*/?>"); )
오류내용이 패치와 관련된거 같아 패치를 살펴봤는데 대부분이 아래와 같이
수정 : zWriteFile($filename, "<? die('Access Denied');/*".$_realNowConnector."*/?>");
die('Access Denied'); 코드를 추가하는 것이더군요.코드를 살펴본 후, php는 잘 알지 못하지만 일반적인 프로그래밍 언어가 "" 기호 안에서 ' 을 사용하고
할때 \를 앞에 붙여줘야 하는 것으로 알고 있기에,
위 코드를 아래와 같이 수정하였습니다. 즉 ' 앞에 \를 붙여 준것입니다.
그랫더니 UserList가 제대로 나오더군요..
수정 : zWriteFile($filename, "<? die(\'Access Denied\');/*".$_realNowConnector."*/?>");
혹, 저와 같은 오류가 나오시는 분은 위와 같이 수정해 보심이 어떨까 합니다.
참고로, 전 그동안 제로보드의 패치는 모두 적용하진 않았고, 일부 코드는 스킨이나 기타 코드 추가로 인해
부분 부분 수정이 되어 왔습니다.
제목 | 최종 글 | 날짜 |
---|---|---|
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내 | 2019.10.23 | |
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] | 2020.08.16 by 천재 | 2017.11.27 |
XE 개발자 채용 안내 | 2018.01.02 | |
공지 XE 개발자 채용 안내 (~2018.06.29) | 2018.06.01 | |
[취소] XE Core 1.10의 PHP 지원 버전 변경 안내 [1] | 2019.02.27 by KAofStafford | 2018.01.04 |
[채용] XEHub와 함께 할 서비스 기획자 모집 | 2019.01.24 | |
[채용] XEHub와 함께 할 프론트앤드 개발자 모집 | 2019.01.24 | |
[중요-수정] XE 1.11.0 버전의 중요 변경사항 안내 (최종 수정: 2018년 10월 08일 19시 18분) [1] | 2018.10.10 by gu곰 | 2018.09.19 |
XE 신규 보안취약점 신고 포상제 시행 안내 [1] | 2019.10.23 by 댑펑 | 2016.09.30 |
[중요] 개인정보 이전 외 XpressEngine에서 알려드립니다 | 2019.06.25 | |
[채용] XEHub 기획자/PM/프로덕트디자이너 모집 | 2019.10.29 | |
[완료] XE1 자료실 및 쉬운설치 서비스 점검 안내 [1] | 2021.07.08 by business | 2019.06.28 |
게시판 운영정책 변경 [25] | 2023.01.06 by juanita | 2014.01.03 |
[채용] XEHub 백앤드 개발자(PHP, Laravel) 모집 [1] | 2023.02.12 by DulceSiphron | 2019.10.29 |
[채용] XEHub 프론트앤드 개발자(마크업, JS) 모집 [2] | 2023.09.04 by Jennifer | 2019.10.29 |
1등~