Blog

  2. Blog

릴리즈 노트 1.5.3.5 보안 패치 배포

2012.11.27 14:56

XE

보안 패치가 포함된 Core를 배포 합니다.


(r123000)


수정사항
  • Webshell 방어코드 추가

보안패치된 내용은 아래 링크에서 확인하실 수 있습니다.

http://code.google.com/p/xe-core/source/detail?r=12300

직접 수정해 주실 경우에는 다음 부분을 수정해 주시면 됩니다.


1. ./classes/context/Context.class.php 파일

155번째 라인 var $is_uploaded = false; 다음에 다음 코드 추가.

 * @var bool true if attached file exists
 */
var $is_uploaded = false;

/**
 * Check init
 * @var bool false if init fail
 */
var $isSuccessInit = true;

809 라인 _setRequestArgument() 메소드 시작 부분에 아래 코드 추가.

$pattern = array(
'/<\?/iUsm',
'/<\%/iUsm',
'/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*/iUsm'
);

824 라인 다음 코드를

if($set_to_vars)
{
$val = preg_replace('/<\?.*(\?>)?/iUsm', '', $val);
$val = preg_replace('/<\%.*(\%>)?/iUsm', '', $val);
$val = preg_replace('/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*>.*<[\s]*\/[\s]*script[\s]*>/iUsm', '', $val);
}

아래 코드로 변경

if($set_to_vars)
{
foreach($pattern AS $key2=>$value2)
{
$result = preg_match($value2, $val);
if($result)
{
$this->isSuccessInit = false;
break;
}
}
}



2. ./classes/module/ModuleHandler.class.php 파일

40 번째 라인을 아래 다음 코드로 추가

$this->act = Context::get('act');
return;
}

$oContext = Context::getInstance();
if($oContext->isSuccessInit == false)
{
$this->error = 'msg_invalid_request';
return;
}
// Set variables from request arguments
$this->module = $module?$module:Context::get('module');
$this->act    = $act?$act:Context::get('act');

=================================================================================================================


1.4.5.X사용자가 1.5.0 이상 버전으로 업데이트를 하는 경우에는 반드시 관리자 제어판에 노출되는 모든 모듈업데이트를 완료 후 서비스 이용하시기 바랍니다.

(업데이트시 모듈 업데이트 미 완료로인해 로그인화면이 노출되지 않는 이슈가 발생할 수 있사오니, 가급적 관리자 로그인 상태에서 코드 업데이트를 하시기를 권장합니다.)

실서비스에 1.5.0 이상 버전을 적용하고자 하는 사용자는 반드시 DB및 코드 백업 이후 진행
태그 연관 글
  1. [2019/03/18] 포럼 XE 레이아웃 제작 일주일 코스 by 이온디
  2. [2019/01/18] 묻고답하기 모바일에서 서 레이아웃 비정상 문의드려요 by 바키라
  3. [2018/12/31] 묻고답하기 슬라이드 위젯 삽입 후 메뉴가 안보이네요 고수님들 부탁드립니다 by BEO *6
  4. [2018/11/21] Blog [XE3] XE Store 사업설명회 행사 안내 - 2018년 12월 5일 by XE *2
  5. [2018/03/28] 묻고답하기 $oMail->setSender Sender 이메일 발신자가 공백으로 나옵니다. by diomin *3
, , , , 이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
XE 1.5.1.6 긴급 보안패치 [9] 2012.08.27 by vibram five fingers 2012.02.06
2012년 2월 공헌자/커미터 현황 [5] 2012.08.22 by hermes bags 2012.02.09
[완료] 쉬운설치 서버점검 [1] 2012.08.16 by Ployer MOMO7 2012.02.09
XE 1.5.1.7 긴급 보안패치 [12] 2012.08.20 by Isabel Marant Boots 2012.02.10
XE 이슈에 투표해 주세요. [1] 2012.08.22 by replica watches 2012.02.13
XE 1.5.1.8 긴급 보안패치 [1] 2012.08.22 by hermes bags 2012.02.15
공개SW포털, OSS 커뮤니티 지원 안내. [2] file 2012.08.16 by Dapeng A5S 2012.02.17
zetyx.net 도메인 포워딩 서비스 3/31 중단 안내. [7] 2012.08.16 by ACHO C908 2012.02.20
XE 1.6 버전부터 버전 표기 형식이 바뀝니다. [13] 2020.03.14 by 최윤한 2012.02.21
XE 1.5 캐시 사용으로 성능 극대화 [5] file 2014.07.26 by seren 2012.02.22
XE 1.5.1.9 긴급 보안패치 [1] 2012.08.16 by 9220 Smart Phone 2012.02.28
[완료]공식사이트 점검안내 [4] 2012.08.16 by ZTE V889D 2012.02.28
XE 1.5.1.10 배포 [10] 2012.08.22 by chanel bags 2012.02.29
XE 1.5.1.11 긴급 보안패치 [3] 2012.08.20 by Isabel Marant Boots 2012.03.08
XE 1.5.1.12 긴급 패치 [2] 2012.08.20 by Isabel Marant Boots 2012.03.12
2012년 3월 공헌자/커미터 현황 [6] 2012.08.16 by Coolpad W706 2012.03.13
XE 1.5.2를 공식사이트에 적용하였습니다. [10] 2020.03.14 by HUAWEI MediaPad 2012.03.13
1.5.2 배포 연기 안내 [8] 2012.08.16 by ZTE U960 2012.03.14
커뮤니티의 일원이 되고 싶은 XE개발팀 [21] 2012.09.21 by sophiec 2012.03.14
XE 1.5.1.13 긴급보안패치 [3] 2020.03.14 by Isabel Marant Boots 2012.03.15
태그 쓰기