안녕 하세요. 아파치입니다.
이전에 업로드된 버전이 1.7.0 버전이더군요....ㅠㅠ
그간 많은 업데이트와 패치가 있었습니다.
업데이트와 패치파일은 JS빌더 사이트에 있으니 참고 하세요.
빌더버전 : 1.8.4
그누버전 : 4.36.16
패치날짜 : 2013.02.19
수정 내역 :
중복 아이피 가입방지 버그 해결
XSS 취약점 해결 (i2sec 황도경님께서 알려 주셨습니다.)
파일명에 특수문자가 포함되는 경우에 발생할수 있어 파일명을 필터링 하였습니다.
수정 파일 :
bbs/register_form_update.php
bbs/write_update.php
빌더버전 : 1.8.3
그누버전 : 4.36.15
패치날짜 : 2013.02.07
수정 내역 :
SQL Injection 취약점 해결
김동현(Stealth) 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
※ php.ini 또는 .htaccess 에서 register_globals = On, magic_quotes_gpc = Off 으로 설정하였을 경우에만 해당됩니다.
bbs/memo_view.php 의 SQL 코드 위에 아래와 같이 한줄 추가해 넣으시면 됩니다.
$me_id = (int)$me_id;
bbs/memo_delete.php 의 SQL 코드 위에 아래와 같이 한줄 추가해 넣으시면 됩니다.
$me_id = (int)$me_id;
오타로 인한 XSS 취약점 해결
㈜윈스테크넷 침해사고대응센터에서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
//$pattern .= "(i|&#(x6a|105);?)";
$pattern .= "(i|&#(x69|105);?)";
cheditor5 로 이미지 첨부시에 최신글에 썸네일 출력이 안되는 버그 수정
빌더버전 : 1.8.2
그누버전 : 4.36.13
패치날짜 : 2013.01.29
수정 내역 :
iframe 등의 tag 에 주석 처리가 되어 있는 경우의 () XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
수정 파일 :
lib/common.lib.php
빌더버전 : 1.8.1
그누버전 : 4.36.12
패치날짜 : 2013.01.10
수정 내역 :
XSS 취약점 해결, 패치된 내역 수정 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 의 아래 코드가 추가 되었습니다.
$content = preg_replace_callback("#style\s*=\s*[\"\']?[^\"\']+[\"\']?#i",
create_function('$matches', 'return str_replace("\\\\", "", stripslashes($matches[0]));'), $content);
session_unregister 는 PHP 5.3 이상 에서 더이상 사용되지 않고 PHP 5.4 에서 사라지는 함수입니다.
unset($_SESSION['const']) 로 대체합니다.
김선용 님께서 알려 주셨습니다.
수정 파일 :
bbs/formmail_send.php
bbs/member_leave.php
bbs/memo_form_update.php
bbs/password_lost2.php
bbs/register_form_update.php
bbs/write_comment_update.php
bbs/write_update.php
빌더버전 : 1.8.0
그누버전 : 4.36.11
패치날짜 : 2013.01.02
수정 내역 :
글읽기에서 실행되는 XSS 취약점 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 에 아래와 같이 추가합니다.
// 코드에 취약점이 있어 수정함. 121213
$content = preg_replace("/(?<=style)(\s*=\s*[\"\']?xss\:)/i", '="__XSS__', $content);</div>
크롬에서만 실행되는 XSS 취약점 보완
서울 대원고등학교 현성원님 께서 한국인터넷진흥원을 통하여 알려 주셨습니다.
common.php 에 아래와 같이 추가합니다.
// 코드 $sfl 변수값에서 < > ' " % = ( ) 공백 문자를 없앤다.
$sfl = preg_replace("/[\<\>\'\"\%\=\(\)\s]/", "", $sfl);
로그인 폼 수정 - 아이디 또는 이메일 입력기능
검색 버그 수정
UCC 게시판 수정
게시판에서 DHTML 에디터를 사용하지 않고 html 글을 작성하는 경우에 XSS 취약점이 발견되어 보완합니다.
수정 파일 :
bbs/login_check.php
skin/outlogin/gray/outlogin.skin.1.php
skin/board/basic/view.skin.php
skin/board/basic/write.skin.php
lib/common.lib.php
common.php
그외 다수..........
테스트 사이트는 상단링크를 참조하세요.
테스트 사이트 아이디 : 패스워드 는 아래와 같습니다.
관리자 계정 = admin : admin
일반 계정 = test : test
첨부된 이미지와 테스트사이트는 계속 업데이트 중이라 버전이 틀리게 출력 될수도 있습니다.
이전에 업로드된 버전이 1.7.0 버전이더군요....ㅠㅠ
그간 많은 업데이트와 패치가 있었습니다.
업데이트와 패치파일은 JS빌더 사이트에 있으니 참고 하세요.
빌더버전 : 1.8.4
그누버전 : 4.36.16
패치날짜 : 2013.02.19
수정 내역 :
중복 아이피 가입방지 버그 해결
XSS 취약점 해결 (i2sec 황도경님께서 알려 주셨습니다.)
파일명에 특수문자가 포함되는 경우에 발생할수 있어 파일명을 필터링 하였습니다.
수정 파일 :
bbs/register_form_update.php
bbs/write_update.php
빌더버전 : 1.8.3
그누버전 : 4.36.15
패치날짜 : 2013.02.07
수정 내역 :
SQL Injection 취약점 해결
김동현(Stealth) 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
※ php.ini 또는 .htaccess 에서 register_globals = On, magic_quotes_gpc = Off 으로 설정하였을 경우에만 해당됩니다.
bbs/memo_view.php 의 SQL 코드 위에 아래와 같이 한줄 추가해 넣으시면 됩니다.
$me_id = (int)$me_id;
bbs/memo_delete.php 의 SQL 코드 위에 아래와 같이 한줄 추가해 넣으시면 됩니다.
$me_id = (int)$me_id;
오타로 인한 XSS 취약점 해결
㈜윈스테크넷 침해사고대응센터에서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
//$pattern .= "(i|&#(x6a|105);?)";
$pattern .= "(i|&#(x69|105);?)";
cheditor5 로 이미지 첨부시에 최신글에 썸네일 출력이 안되는 버그 수정
빌더버전 : 1.8.2
그누버전 : 4.36.13
패치날짜 : 2013.01.29
수정 내역 :
iframe 등의 tag 에 주석 처리가 되어 있는 경우의 () XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
수정 파일 :
lib/common.lib.php
빌더버전 : 1.8.1
그누버전 : 4.36.12
패치날짜 : 2013.01.10
수정 내역 :
XSS 취약점 해결, 패치된 내역 수정 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 의 아래 코드가 추가 되었습니다.
$content = preg_replace_callback("#style\s*=\s*[\"\']?[^\"\']+[\"\']?#i",
create_function('$matches', 'return str_replace("\\\\", "", stripslashes($matches[0]));'), $content);
session_unregister 는 PHP 5.3 이상 에서 더이상 사용되지 않고 PHP 5.4 에서 사라지는 함수입니다.
unset($_SESSION['const']) 로 대체합니다.
김선용 님께서 알려 주셨습니다.
수정 파일 :
bbs/formmail_send.php
bbs/member_leave.php
bbs/memo_form_update.php
bbs/password_lost2.php
bbs/register_form_update.php
bbs/write_comment_update.php
bbs/write_update.php
빌더버전 : 1.8.0
그누버전 : 4.36.11
패치날짜 : 2013.01.02
수정 내역 :
글읽기에서 실행되는 XSS 취약점 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 에 아래와 같이 추가합니다.
// 코드에 취약점이 있어 수정함. 121213
$content = preg_replace("/(?<=style)(\s*=\s*[\"\']?xss\:)/i", '="__XSS__', $content);</div>
크롬에서만 실행되는 XSS 취약점 보완
서울 대원고등학교 현성원님 께서 한국인터넷진흥원을 통하여 알려 주셨습니다.
common.php 에 아래와 같이 추가합니다.
// 코드 $sfl 변수값에서 < > ' " % = ( ) 공백 문자를 없앤다.
$sfl = preg_replace("/[\<\>\'\"\%\=\(\)\s]/", "", $sfl);
로그인 폼 수정 - 아이디 또는 이메일 입력기능
검색 버그 수정
UCC 게시판 수정
게시판에서 DHTML 에디터를 사용하지 않고 html 글을 작성하는 경우에 XSS 취약점이 발견되어 보완합니다.
수정 파일 :
bbs/login_check.php
skin/outlogin/gray/outlogin.skin.1.php
skin/board/basic/view.skin.php
skin/board/basic/write.skin.php
lib/common.lib.php
common.php
그외 다수..........
테스트 사이트는 상단링크를 참조하세요.
테스트 사이트 아이디 : 패스워드 는 아래와 같습니다.
관리자 계정 = admin : admin
일반 계정 = test : test
첨부된 이미지와 테스트사이트는 계속 업데이트 중이라 버전이 틀리게 출력 될수도 있습니다.
게시글 목록
| 번호 | 제목 |
|---|---|
| 11695 | |
| 11635 | |
| 11628 | |
| 11605 | |
| 11599 | |
| 11556 | |
| 11554 | |
| 11542 | |
| 11525 | |
| 11491 | |
| 11490 | |
| 11469 | |
| 11402 | |
| 11387 | |
| 11386 | |
| 11372 | |
| 11364 | |
| 11340 | |
| 11339 | |
| 11338 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기