***
1. Beta 버전은 코드 변경 내용을 안내해 드리지 않습니다.
2. 정식버전 출시전에는 실제 운영하는 용도로는 사용을 권해 드리지 않습니다.
3. 패치 파일은 5.3 버전에만 해당 됩니다. 기존에 5.2 버전을 쓰시는 분들은 해당 되지 않으니, 5.2 이하버전에는 적용하면 안됩니다.
4. 정식버전이 나오게 되면 5.2 이하버전에서 5.3 정식버전으로 패치하는 방법에 대해 안내하겠습니다.
***
** 수정내역 **
5.3 버전에서 발견된 문제점을 수정했습니다.
5.2.9.7 버전과 5.2.9.8 버전의 보안패치 내용을 적용했습니다.
[ 보안패치 내용 ]
그누보드 XSS 취약점 (17-876, 17-879) 수정 ( KISA 에서 알려주셨습니다. )
pht 파일 업로드 취약점 수정 adm1nkyj(김용진, http://adm1nkyj.kr ) 님 제보
Open Redirect 취약점 수정 ( Safflower님이 알려주셨습니다. )
그누보드 Reflected XSS 취약점 (891, 906, 908, 910) 수정 ( KISA 에서 알려주셨습니다.)
그누보드 CSRF 취약점(KVE-2017-0883,0884,0923) 수정 ( KISA 에서 알려주셨습니다.)
파일 업로드 취약점 수정 ( LucyLee 님이 알려주셨습니다. )
공개형 git 에는 브랜치 renewal 로 업로드 되어 있습니다.
https://github.com/gnuboard/gnuboard5/tree/renewal
1. Beta 버전은 코드 변경 내용을 안내해 드리지 않습니다.
2. 정식버전 출시전에는 실제 운영하는 용도로는 사용을 권해 드리지 않습니다.
3. 패치 파일은 5.3 버전에만 해당 됩니다. 기존에 5.2 버전을 쓰시는 분들은 해당 되지 않으니, 5.2 이하버전에는 적용하면 안됩니다.
4. 정식버전이 나오게 되면 5.2 이하버전에서 5.3 정식버전으로 패치하는 방법에 대해 안내하겠습니다.
***
** 수정내역 **
5.3 버전에서 발견된 문제점을 수정했습니다.
5.2.9.7 버전과 5.2.9.8 버전의 보안패치 내용을 적용했습니다.
[ 보안패치 내용 ]
그누보드 XSS 취약점 (17-876, 17-879) 수정 ( KISA 에서 알려주셨습니다. )
pht 파일 업로드 취약점 수정 adm1nkyj(김용진, http://adm1nkyj.kr ) 님 제보
Open Redirect 취약점 수정 ( Safflower님이 알려주셨습니다. )
그누보드 Reflected XSS 취약점 (891, 906, 908, 910) 수정 ( KISA 에서 알려주셨습니다.)
그누보드 CSRF 취약점(KVE-2017-0883,0884,0923) 수정 ( KISA 에서 알려주셨습니다.)
파일 업로드 취약점 수정 ( LucyLee 님이 알려주셨습니다. )
공개형 git 에는 브랜치 renewal 로 업로드 되어 있습니다.
https://github.com/gnuboard/gnuboard5/tree/renewal
댓글 36개
php 7.2 에서
소셜로그인을 하신 분만 접근할 수 있습니다.
라고 나오는 오류는
/plugin/social/includes/functions.php 파일에서 대략 475 번째 줄에
// then grab the user profile
$user_profile = $adapter->getUserProfile();
if( ! $is_member ){
$_SESSION['sl_userprofile'][$provider_name] = json_encode( $user_profile );
}
이 부분을 아래와 같이 고칩니다.
// then grab the user profile
$user_profile = $adapter->getUserProfile();
if( ! (isset($_SESSION['sl_userprofile']) && is_array($_SESSION['sl_userprofile'])) ){
$_SESSION['sl_userprofile'] = array();
}
if( ! $is_member ){
$_SESSION['sl_userprofile'][$provider_name] = json_encode( $user_profile );
}
구글의 사용자 프로필 요청이 실패 되었다는 오류는
구글 API 설정에서
Google+ API 를 활성화 해야 합니다.
그 부분이 이전의 메뉴얼에 빠져 있었습니다. 메뉴얼을 업데이트 해 놓았으니
https://sir.kr/manual/g5/276
위의 메뉴얼에서
2. API 및 서비스 -> 라이브러리 메뉴에서 Google+ API 를 활성화 합니다.
이 항목대로 Google+ API 를 활성화 해 주면 됩니다.
소셜로그인을 하신 분만 접근할 수 있습니다.
라고 나오는 오류는
/plugin/social/includes/functions.php 파일에서 대략 475 번째 줄에
// then grab the user profile
$user_profile = $adapter->getUserProfile();
if( ! $is_member ){
$_SESSION['sl_userprofile'][$provider_name] = json_encode( $user_profile );
}
이 부분을 아래와 같이 고칩니다.
// then grab the user profile
$user_profile = $adapter->getUserProfile();
if( ! (isset($_SESSION['sl_userprofile']) && is_array($_SESSION['sl_userprofile'])) ){
$_SESSION['sl_userprofile'] = array();
}
if( ! $is_member ){
$_SESSION['sl_userprofile'][$provider_name] = json_encode( $user_profile );
}
구글의 사용자 프로필 요청이 실패 되었다는 오류는
구글 API 설정에서
Google+ API 를 활성화 해야 합니다.
그 부분이 이전의 메뉴얼에 빠져 있었습니다. 메뉴얼을 업데이트 해 놓았으니
https://sir.kr/manual/g5/276
위의 메뉴얼에서
2. API 및 서비스 -> 라이브러리 메뉴에서 Google+ API 를 활성화 합니다.
이 항목대로 Google+ API 를 활성화 해 주면 됩니다.
구글에서 이름 때문에 회원가입 못하는 오류는 다음버전에 수정하겠습니다.
네이버의 경우 이메일 체크를 한다고 해서 무조건 이메일을 전달해 주지 않습니다. 사용자가 이메일 전달을 동의 했을때만 이메일이 전달이 됩니다.
사용자가 이메일 전달을 동의 했는지 안했는지는
사용자가 직접 네이버 -> 내정보 -> 보안설정 -> 외부사이트 연결 에서 확인 할수 있습니다.
아래 스샷과 같이 되어 있으면 이메일을 전달 안해줍니다.
[http://sir.kr/data/editor/1801/3bf2572c8f0edc832d7c90bb5b5ff943_1515051891_3546.png]
네이버의 경우 이메일 체크를 한다고 해서 무조건 이메일을 전달해 주지 않습니다. 사용자가 이메일 전달을 동의 했을때만 이메일이 전달이 됩니다.
사용자가 이메일 전달을 동의 했는지 안했는지는
사용자가 직접 네이버 -> 내정보 -> 보안설정 -> 외부사이트 연결 에서 확인 할수 있습니다.
아래 스샷과 같이 되어 있으면 이메일을 전달 안해줍니다.
[http://sir.kr/data/editor/1801/3bf2572c8f0edc832d7c90bb5b5ff943_1515051891_3546.png]
이게 에러인지는 모르겠습니다.
호스팅사의 세팅에 따라서는 문제가 없을수도 있는데,
외부로 파일링크가 불가능한 호스팅일 경우 문제가 될 수 있을거 같습니다.
글쓴이 사이드뷰 체크한 게시판은 이름앞에 아이콘이 같이 나오는데
이때 모바일버전 인덱스화면 최신글에 나오는 회원아이콘 표시가 좀 이상합니다.
예를들어서
도메인에 www.을 붙인 상태로 홈페이지에 접속해서 자유게시판에 글을 남깁니다.
이때는 당연히 모바일 인덱스 화면 최신글의 회원아이콘이 제대로 표시됩니다.
그런데 문제는 www.을 붙이지 않은 상태로 홈페이지 접속하면
인덱스 화면의 자유게시판 최신글의 회원아이콘이 보이지 않습니다.
www.을 붙이지 않고 홈페이지에 접속해도
인덱스 화면의 자유게시판 최신글 회원아이콘의 경로가 www.도메인명/img/...으로 되어 있습니다.
자유게시판 리스트의 회원아이콘의 경로는
www.을 붙이고 홈페이지 접속하면 www.도메인명/img/...으로 보이고
www.을 붙이지 않은 상태로 홈페이지 접속하면 도메인명/img/... 으로 보여져서 문제가 없는데,
인덱스 최신글에 보여지는 회원아이콘은 그 글을 작성 당시 도메인 주소로 고정이 되어 있습니다.
이것 때문에 외부 파일링크가 막혀 있는 호스팅에서는
www.이 있는것과 없는 것을 다른 도메인으로 인식해서 회원아이콘이 안보여지네요.
아... config.php 파일의 쿠키 공유 설정과는 상관이 없더군요.
그리고, 인덱스 최신글은 마지막에 작성한 글이 www. 붙인 상태에서 작성했는지 아닌지에 따라서
그전에 작성한 글도 모두 적용을 받더군요.
예를들어 자유게시판 4번째 작성한 글이 www.이 있는 도메인에서 글에서 작성해도,
5번째 글을 www.이 없는 도메인에서 작성하면
자유게시판의 최신글의 모든 회원아이콘의 이미지 경로는 www.이 없는 도메인명/img/... 이 됩니다.
마지막 글에 따라 한게시판 전체 최신글의 회원아이콘 이미지 경로가 변경되지만
다른 게시판의 최신글에는 적용되지 않고요.
제가 제대로 설명을 한건지 모르겠는데,
하여간 좀 이상한듯합니다.
호스팅사의 세팅에 따라서는 문제가 없을수도 있는데,
외부로 파일링크가 불가능한 호스팅일 경우 문제가 될 수 있을거 같습니다.
글쓴이 사이드뷰 체크한 게시판은 이름앞에 아이콘이 같이 나오는데
이때 모바일버전 인덱스화면 최신글에 나오는 회원아이콘 표시가 좀 이상합니다.
예를들어서
도메인에 www.을 붙인 상태로 홈페이지에 접속해서 자유게시판에 글을 남깁니다.
이때는 당연히 모바일 인덱스 화면 최신글의 회원아이콘이 제대로 표시됩니다.
그런데 문제는 www.을 붙이지 않은 상태로 홈페이지 접속하면
인덱스 화면의 자유게시판 최신글의 회원아이콘이 보이지 않습니다.
www.을 붙이지 않고 홈페이지에 접속해도
인덱스 화면의 자유게시판 최신글 회원아이콘의 경로가 www.도메인명/img/...으로 되어 있습니다.
자유게시판 리스트의 회원아이콘의 경로는
www.을 붙이고 홈페이지 접속하면 www.도메인명/img/...으로 보이고
www.을 붙이지 않은 상태로 홈페이지 접속하면 도메인명/img/... 으로 보여져서 문제가 없는데,
인덱스 최신글에 보여지는 회원아이콘은 그 글을 작성 당시 도메인 주소로 고정이 되어 있습니다.
이것 때문에 외부 파일링크가 막혀 있는 호스팅에서는
www.이 있는것과 없는 것을 다른 도메인으로 인식해서 회원아이콘이 안보여지네요.
아... config.php 파일의 쿠키 공유 설정과는 상관이 없더군요.
그리고, 인덱스 최신글은 마지막에 작성한 글이 www. 붙인 상태에서 작성했는지 아닌지에 따라서
그전에 작성한 글도 모두 적용을 받더군요.
예를들어 자유게시판 4번째 작성한 글이 www.이 있는 도메인에서 글에서 작성해도,
5번째 글을 www.이 없는 도메인에서 작성하면
자유게시판의 최신글의 모든 회원아이콘의 이미지 경로는 www.이 없는 도메인명/img/... 이 됩니다.
마지막 글에 따라 한게시판 전체 최신글의 회원아이콘 이미지 경로가 변경되지만
다른 게시판의 최신글에는 적용되지 않고요.
제가 제대로 설명을 한건지 모르겠는데,
하여간 좀 이상한듯합니다.
게시글 목록
| 번호 | 제목 |
|---|---|
| 4081 | |
| 4080 | |
| 4049 | |
| 4047 | |
| 4021 | |
| 4000 | |
| 3944 | |
| 3900 | |
| 3882 | |
| 3866 | |
| 3845 | |
| 3789 | |
| 3770 | |
| 3751 | |
| 3737 | |
| 3716 | |
| 3678 | |
| 3660 | |
| 3628 | |
| 3597 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기