Blog

  2. Blog

릴리즈 노트 1.5.3.5 보안 패치 배포

2012.11.27 14:56

XE

보안 패치가 포함된 Core를 배포 합니다.


(r123000)


수정사항
  • Webshell 방어코드 추가

보안패치된 내용은 아래 링크에서 확인하실 수 있습니다.

http://code.google.com/p/xe-core/source/detail?r=12300

직접 수정해 주실 경우에는 다음 부분을 수정해 주시면 됩니다.


1. ./classes/context/Context.class.php 파일

155번째 라인 var $is_uploaded = false; 다음에 다음 코드 추가.

 * @var bool true if attached file exists
 */
var $is_uploaded = false;

/**
 * Check init
 * @var bool false if init fail
 */
var $isSuccessInit = true;

809 라인 _setRequestArgument() 메소드 시작 부분에 아래 코드 추가.

$pattern = array(
'/<\?/iUsm',
'/<\%/iUsm',
'/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*/iUsm'
);

824 라인 다음 코드를

if($set_to_vars)
{
$val = preg_replace('/<\?.*(\?>)?/iUsm', '', $val);
$val = preg_replace('/<\%.*(\%>)?/iUsm', '', $val);
$val = preg_replace('/<script(\s|\S)*language[\s]*=("|\')php("|\')(\s|\S)*>.*<[\s]*\/[\s]*script[\s]*>/iUsm', '', $val);
}

아래 코드로 변경

if($set_to_vars)
{
foreach($pattern AS $key2=>$value2)
{
$result = preg_match($value2, $val);
if($result)
{
$this->isSuccessInit = false;
break;
}
}
}



2. ./classes/module/ModuleHandler.class.php 파일

40 번째 라인을 아래 다음 코드로 추가

$this->act = Context::get('act');
return;
}

$oContext = Context::getInstance();
if($oContext->isSuccessInit == false)
{
$this->error = 'msg_invalid_request';
return;
}
// Set variables from request arguments
$this->module = $module?$module:Context::get('module');
$this->act    = $act?$act:Context::get('act');

=================================================================================================================


1.4.5.X사용자가 1.5.0 이상 버전으로 업데이트를 하는 경우에는 반드시 관리자 제어판에 노출되는 모든 모듈업데이트를 완료 후 서비스 이용하시기 바랍니다.

(업데이트시 모듈 업데이트 미 완료로인해 로그인화면이 노출되지 않는 이슈가 발생할 수 있사오니, 가급적 관리자 로그인 상태에서 코드 업데이트를 하시기를 권장합니다.)

실서비스에 1.5.0 이상 버전을 적용하고자 하는 사용자는 반드시 DB및 코드 백업 이후 진행
태그 연관 글
  1. [2019/03/18] 포럼 XE 레이아웃 제작 일주일 코스 by 이온디
  2. [2019/01/18] 묻고답하기 모바일에서 서 레이아웃 비정상 문의드려요 by 바키라
  3. [2018/12/31] 묻고답하기 슬라이드 위젯 삽입 후 메뉴가 안보이네요 고수님들 부탁드립니다 by BEO *6
  4. [2018/11/21] Blog [XE3] XE Store 사업설명회 행사 안내 - 2018년 12월 5일 by XE *2
  5. [2018/03/28] 묻고답하기 $oMail->setSender Sender 이메일 발신자가 공백으로 나옵니다. by diomin *3
, , , , 이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
XE 1.5 업데이트 가이드 [11] file 2014.09.21 by geoever 2012.05.09
XpressEngine Core 1.7.6 Release (보안패치) [14] 2014.09.22 by 스무스스 2014.09.18
XE Open Seminar - Tools for PHP 안내 (2014. 9. 27) [3] file 2014.09.22 by ToFinder 2014.09.19
캐시 설정 가이드 - XE 1.5 버전 이후 [5] file 2014.09.24 by 듀애즈 2012.06.01
XpressEngine Core 1.7.7 Release (보안패치 & 1.7.6 로그인 문제 수정) [2] 2014.09.27 by EnterTM 2014.09.23
XE Open Seminar - Tools for PHP 스케치 file   2014.09.29
XE Open Office Day - 2014. 10. 11 개최 안내 [1] file 2014.10.09 by 키스투엑스이 2014.10.07
Coding Convention [5] file 2014.10.29 by 올데이럭키 2014.08.13
XpressEngine Core 1.7.5.6 Release (보안패치) [1] 2014.10.30 by 올데이럭키 2014.07.28
XE Open Office Day - 2014. 10. 11 행사 스케치 [2] file 2014.10.30 by 올데이럭키 2014.10.11
XECon + PHPFest 2014 개최 안내 [접수 마감] [22] file 2014.11.12 by 노에르 2014.10.27
XECon + PHPFest 2014 발표자료를 공유합니다   2014.11.17
XE Open Office Day - 8월 8일 행사 스케치 [9] file 2014.11.18 by 하늘밝음 2014.08.11
XE 체험하기 서비스를 소개합니다 [9] 2014.11.21 by some419 2014.09.29
XE Open Office Day - 11월 29일 file   2014.11.24
XECon + PHPFest 2014 발표 영상이 등록되었습니다 [2] 2014.11.28 by ToFinder 2014.11.25
XpressEngine Core 1.7.8 Release [4] 2014.12.13 by 스무스스 2014.12.09
XE 체험하기 서비스 업데이트 [4] file 2014.12.18 by YJSoft 2014.12.17
XE Core 1.7.9 Release [보안패치] [4] 2015.01.13 by 키스미베이베 2015.01.07
XE 공모전 2014 작품 미리 살펴보기 & 공모전 참여 안내 [2] file 2015.01.14 by XE 2015.01.12
태그 쓰기