XE 1.7.7 Release Note (보안패치)

XpressEngine Core 1.7.7을 배포합니다.

보안 취약점 해결과 버그 및 개선 사항을 처리했습니다.

보안 문제 해결을 위해 업데이트를 권고합니다.

Core 업데이트 주의 사항

• 실 사이트에 적용하시기 전에 실 사이트와 유사한 환경을 갖추고 이상이 없는지 확인하시길 권고합니다.
• 업데이트 전 관리자 로그인 상태로 관리페이지를 열어두시고 진행하시길 권고합니다.
• 업데이트 후 대시보드에서 각 모듈의 DB 생성 및 업데이트 버튼을 누르세요.
  • 업데이트 순서는 'menu > module > 기타 모듈'순서로 해 주시기 바랍니다.
• 업데이트 후 관리페이지 우측 하단의 캐시파일 재생성으로 cache를 갱신하셔야 합니다.
• 1.4 및 1.5 버전에서 업데이트하는 경우 데이터 양에 따라 시간이 많이 소요될 수 있으며 서버 환경에 따라 업데이트에 실패할 수 있습니다.
• 다음 문서를 참고하여 데이터 백업 후 진행하시길 권고합니다.
  • http://www.xpressengine.com/22674246

변경된 파일만 다운로드

https://github.com/xpressengine/xe-core/releases/tag/1.7.7
페이지 하단의 파일명에 'changed'가 포함된 파일

변경 내역

Security

• URL Parameter를 이용한 XSS 문제 고침 #989 @bnu
  • @stellar12 (Stellar)님께서 알려주셨습니다

Defect

• Core 1.7.6에서 로그인이 자주 풀리는 문제 고침 #980 @bnu
• 회원 기본스킨의 계정찾기에서 SSL 전송 문제 고침 #961 @bnu

For Developer

XE Core 1.7.6버전 이상에서 보안 향상에 따른 안내

manager(모듈 관리)권한을 가진자의 권한을 정상적으로 제한하기위해 변경이 있었습니다.
disp{module_name}Admin, proc{module_name}Admin, get{module_name}Admin 등 최고관리자 또는 관리페이지에 사용할 목적으로 만들어진 Action에 대한 접근이 일괄 제한됩니다.

이러한 admin 액션에 자유롭게 허용하던 모듈은 이전처럼 manager에게 접근 권한을 허용하기위해서는 다음과 같이 action 별로 권한을 허용할 수 있습니다.

<module>
...
    <permissions>
        <permission action="허용하고자하는 action" target="manager" />
    permissions>
...
module>

이처럼 허용하고자하는 action을  항목을 추가하여 target에 'manager'를 지정하면 됩니다.