[그누보드] 2012년 3월 09일자 보안패치 4.34.21

페이지 정보

조회 4,909회 작성일 2012-03-12 10:49 URL https://webdraw.kr/notice/172

본문

웹드로우에서 제작된 홈페이지 중 그누보드를 사용하는 홈페이지에 대한 2012년 3월 9일자 보안패치 입니다. 패치전 반드시 해당파일을 백업 후 실행하시길 바랍니다.
skin파일은 사용자의 여러 폴더가 있으므로 각폴더마다 view.skin.php를 업로드하여야 합니다. 기본폴더는 basic입니다. 
다운로드한 후 압축을 푸시고 FTP로 접속하여 압축을 푼 파일 전체를 덮어 씌우기하시면 됩니다.
 
※ 주의 : 관리자모드  버전정보를 확인해 보시고 이미 패치가 되어 있다면 안하셔도 되며, 패치 날짜에 맞게 순차적으로 패치를 하여야 합니다. 패치가 어려우신 분은 별도로 문의 바랍니다. 
 
주문형 제작일 경우 해당파일을 일일이 비교하며 소스를 수정해야 합니다. 
 
 #######################################################
 
4.34.21 (2012.03.09)
    :  [보안패치] 파일명을 이용한 XSS 취약점 수정 (wh1ant님께서 도움 주셨습니다.)
    :  UTF-8 사용시 링크에서 한글이 깨지던 오류 수정 (forever님, NaviGator님께서 도움 주셨습니다.)


        skin/board/basic/view.skin.php 을 아래와 같이 수정하세요. 

        echo "<a href=\"javascript:file_download('{$view[file][$i][href]}', '".urlencode($view[file][$i][source])."');\" title='{$view[file][$i][content]}'>";
            ... 
        <? if ($board[bo_download_point] < 0) { ?>if (confirm("'"+decodeURIComponent(file)+"' 파일을 다운로드 하시면 포인트가 차감(<?=number_format($board[bo_download_point])?>점)됩니다.\n\n포인트는 게시물당 한번만 차감되며 다음에 다시 다운로드 하셔도 중복하여 차감하지 않습니다.\n\n그래도 다운로드 하시겠습니까?"))<?}?>


        lib/common.lib.php 의 function url_auto_link($str) 에서 

        $str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[\xA1-\xFEa-zA-Z0-9\.:&#=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
            를 

         $str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[가-힣\xA1-\xFEa-zA-Z0-9\.:&#=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
            로 대체하세요.
 
 
자료실 바로가기

MENU