Blog

  2. Blog

XE 1.4.0.10 보안패치 배포합니다.

2010.03.17 10:39

XE

HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.


보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.


이 중 변경된 파일 적용과 코드 수정법을 공지합니다.


1. 변경된 파일만 적용

    xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.

    이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.


2. 소스 코드 수정

    ./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.


$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);


이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.

Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.

이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
liveXE 구경해보세요. :) [57] [4] file 2012.08.16 by vibram five fingers 2008.07.31
주제발표 - XE의 현재와 미래 [6] [1] file 2012.08.16 by vibram five fingers 2008.07.28
행사 주제 및 순서 소개 [2] file 2013.12.25 by vibram five fingers 2008.07.28
XE Opensource Project 1차 모임 [121] [5] file 2012.08.16 by vibram five fingers 2008.06.24
zbXE 오픈 소스 프로젝트 관련 모임 - 일자/장소 추가 [40] file 2012.08.16 by vibram five fingers 2008.06.24
zbXE 정식버전(코드 안정화) 1.0 배포합니다. [150] [2] file 2012.08.16 by vibram five fingers 2008.02.28
zbXE 스킨 제작 센터 Open합니다. [20] file 2020.03.14 by vibram five fingers 2008.02.27
zbXE 오픈 소스 프로젝트 소개 및 참여 [14] file 2012.08.16 by vibram five fingers 2008.02.21
zbXE 프로젝트 멤버분들을 찾습니다. [23] file 2012.08.16 by vibram five fingers 2008.02.13
zbXE 공식 IRC 접속방법 소개합니다. [14] file 2012.08.16 by vibram five fingers 2008.02.12
새해 복 많이 받으세요. ^^ [54] file 2012.08.16 by vibram five fingers 2008.02.01
애드온 강좌 발표 자료 공유 [2] 2014.03.24 by 마이웹 2014.03.22
2014년 3월 애드온 개발 공개 강좌 후기 (2차) file   2014.03.22
XE Hub <Open office day> - 2014년 3월 공개 강좌 2차 (15일 강좌와 동일)   2014.03.11
2014년 3월 애드온 개발 공개 강좌 후기 (1차) [3] file 2014.03.20 by eXtriar 2014.03.17
2014년 2월 XE 개발자 세미나 후기 [1] file 2014.03.17 by deepbl39 2014.03.17
XE 개발팀 2012 계획(잠정) [19] file 2012.09.03 by Nike Mercurial Vapor 2011.10.18
XE 개발팀의 오늘 - 7월 6일 테마 기능 [24] file 2012.08.16 by vibram shoes 2011.07.06
XE 개발팀의 오늘 - 7월 1일 사이트관리자 [19] file 2012.08.16 by LY-F9S 2011.07.01
XE 개발팀 워크샵. [15] [1] file 2012.08.16 by FreeLander PD10 2011.03.23
태그 쓰기