Blog
XE Core 1.4.5.6 배포 사고
2011.05.03 11:53
XE 개발팀은 어제 오전 KISA(한국인터넷진흥원)로부터 한 통의 이메일을 받았습니다. 이메일의 내용은 XE Core 1.4.5.5 이하 버전에서 SQL Injection 관련 보안 취약점이 발견되어 빠른 조치가 필요하다는 내용이었는데요. KISA는 이렇게 보안 취약점을 발견하면 저희 팀에 직접 이 사실을 알림과 동시에 누구나 열람이 가능한 곳에 이 사실을 공지합니다.
물론 보안 취약점을 빨리 해결하라는 의미에서 공개를 하는 것이지만 오히려 이 사실을 악용하는 사례도 발생할 수 있기 때문에 XE 개발팀은 항상 가장 높은 우선순위를 두고 이 문제를 빠르게 해결해 왔습니다. 그러나 이 문제를 해결하기 위해 어제 배포했던 XE Core 1.4.5.6 버전에는 방문자 통계 DB를 초기화 하는 심각한 오류가 포함되어 있었습니다.
XE Core 1.4.5.6 버전을 설치는 경우 방문자 통계 DB가 초기화되어 그동안 누적된 방문자 통계가 모두 '0'이 됩니다. 현재 XE 공식 웹 사이트에서 배포되고 있는 XE Core 1.4.5.6 버전은 XE Core 1.4.5.5 버전으로 교체되어 더 이상은 XE Core 1.4.5.6 버전을 내려받을 수 없도록 조치해 두었으며 오류를 발견한 직후 이 문제를 해결한 버전 XE Core 1.4.5.7 을 즉시 배포하기 시작했습니다.
심각한 오류가 포함되어 있는 버전을 업그레이드하여 피해를 입은 분들께 진심으로 사과 말씀 드립니다. 엄격한 테스트 과정을 거치지 않고 파일을 배포한 잘못이 있었습니다. 이번 사건을 계기로 향후 XE개발팀은 유사한 실수가 반복되지 않도록 품질 보증을 위해 보다 엄격한 절차를 마련하겠습니다.
XE Core 1.4.5.6 버전을 설치하면서 초기화된 방문자 통계 DB는 백업된 DB가 있는 경우 복구가 가능합니다. 단 DB 복구를 진행하는 경우 DB 백업시간 이후에 기록된 모든 데이터(게시물 등)를 잃게 되므로 충분한 검토 후에 복구를 진행해 주세요.
댓글 38
-
yank
2011.05.03 13:02
이번 버젼 업데이트로 인해 피해를 본 1인입니다^^;; 그 동안 XE를 업그레이드하면서 이번처럼 어이없는 경우는 없었던 것 같습니다. ㅠㅠ 사람이라면 누구나 실수를 할 수 있겠지만, 말씀하신대로 이번같은 경우가 다시는 반복되는 일은 없어야겠습니다. 업데이트시 좀 더 신중을 기해주셨으면 하구요....(무심코 던지신 돌에 개구리 맞아 죽을 수도 있습니다^^;;) XE 공식 홈에 "선적용" 후 공지해주시고, 2~3일 테스트후 "후배포"해주시면 이런 불상사는 줄어들지 않을까 생각됩니다.~ 어쨌든, 늘 애써주셔서 감사드립니다~ -
GoWay
2011.05.03 14:00
신경써주셔서 감사드립니다. 테스트를 기다리길 잘했네요. -
본문 7줄 오타 XE Core 1.4.5.6 버전을 설치는 → XE Core 1.4.5.6 버전을 설치하는
-
CloverWorld
2011.05.03 15:24
휴.. 업그레이드하려고했다가 왠지 불안해서 안했는데[...] 다른분들 피해가 적었으면 좋겠군요! -
김성근466
2011.05.03 15:58
아...커뮤니티사이트 운영중인데 게시글 쌓아둔 조회수가 모두 0이되었습니다...지금은 다시 카운트가 올라갔지만 조회수가 거의 5~10이네요....DB도 1주일전꺼라 복구해도 게시글이 모두 삭제되는터라 엄두가 안나네요.. 개발하시느라 고생하니는거 알지만 다시는 이런일이 없기를 바랍니다. -
접속통계업데이트가 사라지지 않고 있는데 이거와는 상관이 없는지요?
-
그래서 무조건 최신 버젼이 나왔다 하더라도 자잘한 버그가 있기 때문에 시간이 지나고 나서 받아야 합니다. 시간이 지나다 보면 버그들이 모두 밝혀 지기 때문에,, 일단 1.4.4.4 버전쓰고 몇주나 몇달 지난후 업그레이드 해야겠습니다.
-
토끼매니아
2011.05.03 19:38
1.4.5.7 버전으로 업뎃안하면 사이트공격당할수도있습니다.... 이미 인터넷에공격하는방법이 다알려졌네요...인터넷뉴스기사에도 대놓고 공격하는방법을보여주니... 이번것은보안업뎃이니빨리업뎃하세요!! -
토끼매니아
2011.05.03 19:38
1.4.5.7 버전으로 업뎃안하면 사이트공격당할수도있습니다.... 이미 인터넷에공격하는방법이 다알려졌네요...인터넷뉴스기사에도 대놓고 공격하는방법을보여주니... 이번것은보안업뎃이니빨리업뎃하세요!! -
어이코,, 하루라도 빨리 업데이트 해야겠군요 좋은 정보 감사합니다!
-
아아악내눈
2011.05.03 20:14
버얼써~~ 옛날일입니다만.. 확장변수 별도 테이블로 뜯겨져 나갈떄 멋도모르고 업데했다 개피본후로는 넘들 다 쓰고 베타테스트 끝난 후에나 XE업데합니다. 업데 떴다고 바로 업데하지마세요.. 절대로 ;;;; -
老姜君
2011.05.03 21:45
[XE Core 1.4.5.6 버전을 설치하면서 초기화된 방문자 통계 DB는 백업된 DB가 있는 경우 복구가 가능합니다.] 이 말에 어폐가 있군요. '백업 DB가 없으면 복구할 수 없다'라고 말해야 하지 않을까요? 또, 백업 DB를 전제로 깔아놓고 가정하는데 그 백업 DB는 백업한 시간대로 돌려주는 것일 뿐이지 사라진 데이터를 100% 복구해주는 것도 아니죠. -
老姜君
2011.05.03 21:46
여기 스킨 에디터는 또 뭘 썼는지 엔터도 제대로 안먹네요. -
푸름빠
2011.05.03 23:18
그래도 공짜 프로그램이니깐 이정도는 감수 해야겠죠 -
123
2011.05.04 00:45
위에 xe 안티들의 공격인가요? ps : xe 공짜로 가져다 쓰고 위젯 배포 하나 하지않으면서 불평만 하는 그런 사람은 되지맙시다 -
老姜君
2011.05.04 20:29
http://www.xpressengine.com/19128668 스킨 만들어서 배포했었으니까 불평해도 되죠? 님은 xe에 도대체 얼마나 많은 공헌을 했길래 그렇게 말씀하실 수 있나 궁금하군요. -
자유로
2011.05.04 05:30
그래도 곧바로 업그레이드 해주고 진실 밝히고, 미안하다고 하고 .... 아무튼 개발자님들 고맙습니다. 좋은 프로그램 감사합니다. -
지눈
2011.05.04 08:43
언제나 응원하고 있습니다. 웹개발이 아닌 다른방면에 경험이 있기에, 개발자님의 마음을 어느정도 이해할 수 있을듯 합니다. 하고싶은 말씀을 대신 해보고자 합니다. "그럼 네가 만들던가, 좀 부족하다 싶으면 고쳐라도 보던가, 그러고 욕을하란 말이여...." 말하는 방법을 배우지 못한 약간 어린친구들이 아닌가 생각됩니다. 건승하시길 기원합니다. -
老姜君
2011.05.04 20:31
"그럼 네가 만들던가, 좀 부족하다 싶으면 고쳐라도 보던가, 그러고 욕을하란 말이여...." http://www.xpressengine.com/index.php?mid=tip&search_target=nick_name&search_keyword=%EF%A4%B4%E5%A7%9C%E5%90%9B 나름 고친것만 이정도 됩니다. 이슈트래커에도 몇개 올렸고 개중에는 중요 버그라고 zero님이 바로 수정하신 것도 있습니다. 이제 욕해도 되죠? 님은 말하는 방법을 얼마나 배우셨고 연세는 어떻게 되시나요? -
로그인안됨
2011.05.05 23:01
로그인이 안되네요... "고쳐보던가"는 능력이 되신다는걸 증명하셨으니 말인데요, 예를 들어 1.4.5.6을 다운받고 코드를 분석하고 이런 문제가 있으니 설치하지 말라거나, 개발자님께 배포를 중지하라는 말씀을 하시는게 무료 배포를 하면서 노력중인 사람에 대한 '기본적인 예의'라는 것입니다. 그것은 코팅을 잘하고 못하고의 문제도 아니고, 피해를 보고 안보고의 문제도 아닙니다. 설치를 했다는것은 문서상 계약 따위를 떠나서 님께서도 개발자에 대한 신뢰를 인정한 것입니다. 직접 개발하신 CMS를 볼수 있기를 기대해 봅니다. ^^; -
老姜君
2011.05.06 13:41
아. 저는 설치 안했습니다. 믿지를 못하거든요. 신버전이 나오고 나서 일주일 정도는 두고 봅니다. 지금까지 그 기본적인 예의를 위해 이슈트래커에 이슈를 올려봤지만 도무지 적용이 되야 말이지요. 개발에 대한 철학이나 중요성 판단은 개발자들이 알아서 하는것이고, 이슈를 올려도 개발자들이 쉽게 손을 댈 수 있게 올려야 바로 작업이 진행되긴 하겠지만. 글을 올렸는데 리액션이 없으니 기본적인 예의 표시도 못하겠습디다. 마지막 문장을 보니 역시 불평을 한마디라도 할거면 니가 니거 만들어서 쓰라 그런 말이네요. -
Hodoll
2011.05.04 09:42
이번 일로 딱히 피해를 보진 않았습니다. 그리고 사람일이라는게 실수를 할 수도 있는 일인지라, 앞으로도 이런일이 발생하지 않을 거라고 확언할 수도 없는 일입니다. 따라서 쉬운설치나 업그레이드를 할 때 DB를 덤프를 해서 백업을 하는 과정이 있었으면 좋겠군요. 정말 개발하고 관리하시느라 수고가 많으세요. 힘내세요. -
문예일꾼
2011.05.05 00:33
로그인도 관계가 있는지요... 업데이트후 admin 로그인이 안됍니다. 참 심각하네요... -
SMaker
2011.05.05 12:02
XE에 대한 공헌 여부를 떠나서 무조건적인 욕은 자제해주셨으면 합니다. 어린애처럼 징징거린다고 해결될 문제도 아니고요. -
老姜君
2011.05.06 13:34
지금 저 댓글들이 '무조건적인 욕'으로 보이시나요? -
문어사냥꾼
2011.05.05 22:20
老姜君 너님 잘난맛에 사세요 ^^ -
老姜君
2011.05.06 13:35
로그인해서 댓글 쓰지도 못하는걸 보니 뭔가 구린게 많군요? -
너잘나써
2011.05.07 00:45
老姜君 이양반아, 그렇게 불만이믄 딴걸써딴걸~~~ 자바나 닷넷 머 많잖아, 짱나네 -
老姜君
2011.05.07 01:44
그렇게 짱나면 로그인 해서 글 써보시죠? 정말 궁금합니다. -
한국이 싫어지려고 한다
2011.05.07 03:50
老姜君 이 사람한테 다들 뭐라고 지껄이는데... 제로보드가 1,2년 된것도 아니고 제로보드란게 나오고 초반인것도 아닌데 쓰다가 저렇게 된거면 욕쳐먹어도 할말없죠 ㅡㅡ 불만이고 나발이고 딴걸로 바꾸든 안바꾸든 벌써 일이 벌어졌는데 진짜 우리나라 사람들 너무 생각없이 사는듯... -
쯔쯔
2011.05.07 21:00
우리나라사람들 평소에는 축구안보고 안좋아하다가 월드컵때되면 너도나도 열광하는거 보면 똑같은 허물들이죠. 남들이 신나하니까 다들 따라하는... 생각없이 그냥 혼자 도태될까봐 따라하는 세상. 자기생각이 없이 일반적인 사고방식을 벗어나지 않는선에서 자기 생각을 말하려 하죠. -
공짜좋아하다 대머리된 놈
2011.05.09 07:52
피해보상도 해주나요? 공짜라고 안된다고요? 그런 닥치고 쓸 수 밖에~ -
사이트 운영자는 업데이트를 하기전에 백업을 하는것은 필수라고 생각합니다. 물론 XE측에서도 배포본에 대한 문제가 있을수 있겠지만 사이트 관리자도 책임을 회피할 갈이 없을것이라 봅니다. 언제나 신경 써주시고 좋은 프로그램 배포 하여 주셔서 감사합니다^^
-
삐진렌즈
2011.05.10 22:51
진심으로 열정과 열성을 다해서 일해주시는 운영진에게 감사드립니다. -
바람개비
2011.05.11 16:00
늘 수고가 많으십니다. 감사한 마음으로 쓰고 있습니다. 화이팅! -
charlie
2011.05.13 22:53
귀사의 용기에 감탄했습니다. 보통의 경우는 이러한 문제점을 안고 배포되었다면, 조용히 처리하는게 보통인데, 과감히 문제를 오픈하고 해결책을 제시한 용기. 멋집니다. 무궁한 발전을 빕니다. -
혈의바람
2011.06.02 11:37
감사합니다~ 파이팅!! -
청춘개똥
2011.06.22 02:32
사이트 운영자는 업데이트를 하기전에 백업을 하는것은 필수라고 생각합니다 (전적으로 동의합니다) 즉, 백업도 안하고 업데이트 하다가 잘못된거 가지고 공짜니까 닥치고 쓰라는식으로 받아들이는건 잘못된 겁니다. 솔직히 본인 실수죠.... 그러면서 배우는거구요.
