Blog

  2. Blog

XE 1.4.0.10 보안패치 배포합니다.

2010.03.17 10:39

XE

HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.


보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.


이 중 변경된 파일 적용과 코드 수정법을 공지합니다.


1. 변경된 파일만 적용

    xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.

    이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.


2. 소스 코드 수정

    ./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.


$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);


이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.

Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.

이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
이 게시물을
Profile
좋아요
목록
제목 최종 글 날짜
공지 XE1 신규 보안 취약점 신고 포상제 종료 안내   2019.10.23
공지 [중요!] Object 클래스의 이름 변경 안내(PHP 7.2 버전 호환성) [7] 2020.08.16 by 천재 2017.11.27
XE 1.5.2 배포 [14] 2012.08.27 by cheap vibram shoes 2012.03.20
1.5.2 쉬운설치 패치 파일 [3] file 2013.12.25 by cheap vibram shoes 2012.03.21
1.5.2.1 배포 [9] 2012.08.27 by vibram shoes 2012.03.23
XE 1.6 부터 TinyMCE가 XE의 단일 에디터가 됩니다. [39] 2020.03.14 by 이온디 2012.03.28
제3회 XE사용자 공모전 디자인 부문을 개최합니다. [3] 2012.08.27 by vibram five fingers 2012.03.30
1.5.2.2 배포(보안패치 포함) [4] 2012.09.07 by Tory Burch Outlet 2012.04.02
[완료]공식사이트 점검 안내 [4] 2020.03.14 by vibram shoes 2012.04.02
1.5.2.3 배포 (보안 패치 포함) [9] 2012.10.16 by ONDAVi40 2012.04.26
2012년 5월 공헌자/커미터 현황 [3] 2012.09.07 by Tory Burch Outlet 2012.05.08
XE 1.6을 사용하기 위한 PHP Version에 대해 알려 드립니다. [12] 2020.03.14 by vibram shoes 2012.05.08
친절한 XE 1.5 업데이트 가이드 [43] 2012.09.03 by Chat 2012.05.10
1.5.2.5 배포(보안패치 포함) [19] 2012.08.27 by vibram shoes 2012.05.14
신디케이션 서비스 문의사항 답변 및 서비스 차단 유형 공유 [3] 2012.09.07 by Tory Burch Outlet 2012.05.16
PHP, Wincache를 포함해 IIS에서 XE를 설정하는 방법 [8] file 2020.03.14 by vibram five fingers 2012.05.21
XE 1.5 업데이트 지원 캠페인 진행 [19] 2020.03.14 by vibram five fingers 2012.05.23
XE 비즈니스 확산을 위한 사업자 간담회를 진행합니다. [4] 2012.08.27 by vibram five fingers 2012.05.30
XE 1.5 캐시 설정 가이드 [9] 2020.03.14 by jackdejack 2012.06.01
XE 사업자 간담회 재신청 부탁드립니다.   2012.06.04
20120613 XE 비즈니스 확산을 위한 사업자 간담회 후기 [5] 2020.03.14 by BNU 2012.06.14
1.5.2.6 보안 배포 [7] 2012.09.21 by staticcling 2012.06.26
태그 쓰기