XE 홈피에 올라온 보안패치 공지를 확인한 후 본 홈피에도 적용시켰습니다.

아래의 원문에 나와있듯이 주로 사용하시다고 생각되는 인터넷 익스플로어와는 상관이 없는 부분이지만, 다른 웹브라우저를 사용하시는 분들에게는 혹시 해당될 수도 있기에 조치하였습니다.

 

보다 안정적인 홈피가 되도록 노력하겠습니다.

 

 

아래는 XE 홈피에 올라온 해당 공지사항 원문입니다.

 

원문출처: http://www.xpressengine.com/18776625

 

**********

  

HTML5에서 새롭게 추가된 event 속성으로 인하여 모든 XE에 XSS 보안 취약점이 생겼습니다.

보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.

이 중 변경된 파일 적용과 코드 수정법을 공지합니다.

1. 변경된 파일만 적용

    xe.1.4.0.10.changed.tgz 파일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.
    이 디렉토리 내의 config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에 있는 파일에 덮어씌우시면 됩니다.

 

2. 소스 코드 수정

    ./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.

./config/func.inc.php

654.$attrs = preg_replace('/(\r|\n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);

 

이번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.
Safari, Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.
이 보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
 
**********