XE 1.7.6 Release Note

XpressEngine Core 1.7.6을 배포합니다.

보안 취약점 해결과 버그 및 개선 사항을 처리했습니다.

보안 문제 해결을 위해 업데이트를 권고합니다.

알려진 문제

보안 취약점 해결의 일부로 최고관리자 및 IP가 자주 변경되는 환경에서 로그인이 풀리는 증상이 보고되었습니다. 최고관리자의 경우 보다 강화한 IP 체크와 Session ID 재발급으로 인한 현상이며, 다음의 링크를 참고하여 임시조치할 수 있습니다.

http://www.xpressengine.com/forum/22847766#comment_22848339

Core 업데이트 주의 사항

• 실 사이트에 적용하시기 전에 실 사이트와 유사한 환경을 갖추고 이상이 없는지 확인하시길 권고합니다.
• 업데이트 전 관리자 로그인 상태로 관리페이지를 열어두시고 진행하시길 권고합니다.
• 업데이트 후 대시보드에서 각 모듈의 DB 생성 및 업데이트 버튼을 누르세요.
• 업데이트 순서는 'menu > module > 기타 모듈'순서로 해 주시기 바랍니다.
• 업데이트 후 관리페이지 우측 하단의 캐시파일 재생성으로 cache를 갱신하셔야 합니다.
• 1.4 및 1.5 버전에서 업데이트하는 경우 데이터 양에 따라 시간이 많이 소요될 수 있으며 서버 환경에 따라 업데이트에 실패할 수 있습니다.
• 다음 문서를 참고하여 데이터 백업 후 진행하시길 권고합니다.
  • http://www.xpressengine.com/22674246

변경된 파일만 다운로드

https://github.com/xpressengine/xe-core/releases/tag/1.7.6
페이지 하단의 파일명에 'changed'가 포함된 파일

변경 내역

Security

• XSS 등을 통한 session id를 획득하여 이용할 수 없도록 방지 #952 @bnu
  • 한국인터넷진흥원에서 알려주셨습니다
  • 로그인 후 session id를 재발급하도록 개선하였으며, 관리자 계정은 좀 더 자주 갱신합니다
• 모듈의 관리자(manager)가 허용되지 않은 페이지 접근 및 동작을 수행할 수 있는 문제 고침 #953 @bnu
  • sejin7940(배세진. http://sejin7940.co.kr)님께서 알려 주셨습니다

Defect

• 회원 그룹을 추가할 때 지정한 그룹 순서를 반영하지 않던 문제 고침 #40 @akasima
• 관리페이지 회원 목록에서 이메일 주소를 두 번 츨력하는 문제 고침 #891 @sejin7940
• 사이트맵 설정에서 삭제가 안 되는 문제 고침 #899 @sejin7940
• 설정파일을 이용한 XE 설치가 동작하지 않던 문제 고침 #905 @akasima
• 쉬운설치로 설치 후 임의로 파일 삭제 시 여전히 설치된 상태로 표시하는 문제 고침 #916 @akasima
• 위젯 페이지에서 모바일용 페이지 설정이 없을 때 PC용 콘텐츠를 가져오면서 임의의 CSS를 추가하지 않도록 변경 #954 @bnu
• 선택적 SSL 사용 시 로그인할 때 적용되지 않던 문제 고침 #927 @akasima
• AJAX 진행 메시지로 인해 일부 환경에서 Javascript 오류가 발생할 수 있는 문제 고침 #908 @akasima
• 최고관리자에게 문서첨부제한이 적용되는 문 고침 #871 @izuzero

Enhancement

• 위지윅 에디터에서 굵은 문자를 표시할 때 태그를 사용하도록 개선 #881 @akasima

  • 이와 함께 는 으로 는 로 치환

• 스패머 관리 기능에서 삭제 시 휴지통으로 이동하던 동작을 바로 삭제하도록 기본 설정 변경 #951 @sejin7940

• 최고관리자는 공개하지 않은 회원정보도 회원정보 페이지에서 볼 수 있도록 개선 #962 @sejin7940
• vimeo.com의 embed 코드 변경에 따른 지원 개선 #964 @sejin7940
• #952 관련 swfuploader가 session id의 변경을 반영할 수 있도록 개선 @bnu
• 사이트 맵에서 메뉴 추가 시 사이트 설정에 따라 모듈의 모바일 뷰를 기본 활성하도록 개선 #963 @sejin7940
• 확장 기능 설치 디렉토리의 권한에 따라 FTP사용이 불가능한 환경에서도 설치 가능하도록 개선 #904 @akasima
• 게시판에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima
• 게시판에서 목록 정렬을 확장 변수로 지정할 수 있도록 개선 #351 @sejin7940
• 게시판에서 검색 시 제목+내용 검색으로 기본으로 하도록 변경 #918 @ajkj
• 관리페이지 회원 목록에서 가입일, 최근로그인 세부 시간을 확인할 수 있도록 개선 #906 @akasima
• 통합되었지만, 오래된 레이아웃 등과의 호환성을 위해 인증메일 재발송 템플릿 다시 추가 #880 @sejin7940

etc

• page 모듈의 PC용 기본 스킨의 이름에 모바일용으로 표시하던 문제 고침 #955 @YJSoft
• jQuery의 andSelf()를 대체된 addBack()으로 변경 #931 @lansi951 #913 #907 @akasima

For Developer

• 문서 및 댓글 삭제 시 첨부파일을 함께 제거할 때 file.deleteFile 트리거를 호출하지 않았던 문제 고침 #18@akasima

• 템플릿 파일에서 오류 발생 시 오류 정보와 해당 파일명 출력하도록 개선 #670 @YJSoft

  • 이 오류 정보는 debug 모드를 활성화 했을 때(__DEBUG__ 값을 1 이상으로 설정)만 보여집니다

• documentController::moveCategoryDown()에서 누락된 정보로 인해 비정상 동작할 수 있는 문제 고침 #933@qw5414

• 룰셋에서 커스텀 룰을 지정할 때 rule 이름에 따라 적용되지 않을 수 있는 문제 고침 #898 @lansi951
• HTML 코멘트로 디버그가 출력되지 않는 문제 고침 #929 @devdho
• 잘못 다룬 session_id() 고침 #936 @bnu
• 모바일 모드에서 PC 환경과 동일하게 jQuery 등 기본 css, js 파일을 로드하도록 변경 #919 @akasima
• board 모듈에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima

#953 보안 향상에 따른 안내

manager(모듈 관리)권한을 가진자의 권한을 정상적으로 제한하기위해 변경이 있었습니다.
disp{module_name}Admin, proc{module_name}Admin, get{module_name}Admin 등 최고관리자 또는 관리페이지에 사용할 목적으로 만들어진 Action에 대한 접근이 일괄 제한됩니다.

이러한 admin 액션에 자유롭게 허용하던 모듈은 이전처럼 manager에게 접근 권한을 허용하기위해서는 다음과 같이 action 별로 권한을 허용할 수 있습니다.

<module>
...
    <permissions>
        <permission action="허용하고자하는 action" target="manager" />
    permissions>
...
module>

이처럼 허용하고자하는 action을  항목을 추가하여 taget에 'manager'를 지정하면 됩니다.

개발 참여 안내

XE는 자유 소프트웨어로서 참여형 프로젝트로 진행됩니다.

사용하시는 분들의 버그 리포트를 기다리고 있으며 베타 버전에 대한 테스트와 코드 기여 또한 XE의 발전에 큰 도움이 됩니다.

XE Core 프로젝트 페이지에 발견하신 문제를 등록할 수 있습니다. 빠른 문제 파악과 중복을 방지하기 위해 프로젝트 페이지에서 이슈를 접수하고 있습니다.

이슈 등록 시 XE 버전을 함께 기재해주시기 바라며 필요 시 확장 기능의 버전, 브라우저 버전, PHP 버전 등의 정보도 함께 상세히 기록해주시면 좀 더 빠른 문제 파악에 도움이 됩니다. 또한, 이미 동일한 문제가 등록되어 있는지 먼저 목록을 살펴보거나 검색하여 확인해주시기 바랍니다.

보안 문제는 developers@xpressengine.com 으로 보내주시기 바랍니다.