[웹드로우] 그누보드4 업데이트 4.37.34
페이지 정보
본문
4.37.32, 4.37.33은 버그가 있어 최종 버전을 올립니다.
4.37.32 (2015.08.11)
: 글쓰기에서 XSS 취약점이 발견되어 수정 (장진석님께서 알려 주셨습니다.)htmlpurifier/* 폴더 추가
lib/html_purifier.lib.php 파일 추가
bbs/write_update.php 가 아래와 같이 수정 되었습니다.
include_once($g4['path'] . '/lib/html_purifier.lib.php');
...
$wr_content = html_purifier($wr_content);
4.37.33 (2015.08.12)
: 4.37.32 버전에서 버그가 있어 수정글저장시 htmlpurifier 를 작동하지 않고 글읽기에서 htmlpurifier 를 작동하게 하였습니다.
bbs/write_update.php 가 아래와 같이 수정 되었습니다.
아래 코드를 삭제하시거나 주석 처리 하십시오.
//include_once($g4['path'] . '/lib/html_purifier.lib.php');
...
//$wr_content = html_purifier($wr_content);
bbs/view.php 가 아래와 같이 수정 되었습니다.
include_once($g4['path'] . '/lib/html_purifier.lib.php');
...
$view[content] = html_purifier($view[content]);
lib/common.lib.php 가 아래와 같이 수정 되었습니다.
iframe 태그를 사용하여 유튜브의 동영상을 재생하려는 경우에는 필히 수정해 주십시오
//return preg_replace("/\<([\/]?)(script|iframe|form|applet)([^\>]*)\>?/i", "<$1$2$3>", $code);
return preg_replace("/\<([\/]?)(script|form|applet)([^\>]*)\>?/i", "<$1$2$3>", $code);
4.37.34 (2015.08.13)
: 4.37.33 버전에서 버그가 있어 수정
일부 서버에서 HTMLPurifier.standalone.php 파일 실행시 오류가 있어 htmlpurifier의 사용여부를 선택하게 하였습니다.
XSS를 막는 필터링을 사용하기 위해서는 define('G4_HTML_PURIFIER', true); 로 사용하시면 됩니다.
config.php 에 추가 되었습니다.
define('G4_HTML_PURIFIER', false);
lib/html_purifier.lib.php 가 아래와 같이 수정 되었습니다.
// 상수 선언이 되어 있지 않거나 상수의 값이 거짓이면 필터링 없이 반환
if (!defined('G4_HTML_PURIFIER') || !G4_HTML_PURIFIER)
return $html;
관련링크
-
http://sir.co.kr/g4_pds/9360
1657회 연결
- 이전글영세사업자, 통신 판매 쉬워진다 15.08.20
- 다음글[웹드로우] 영카트5 보안업데이트 5.0.44 15.08.12