웹드로우에서 제작된 홈페이지 중 그누보드를 사용하는 홈페이지에 대한 2013년 7월 11일자 보안패치 입니다. 패치전 반드시 해당파일을 백업 후 실행하시길 바랍니다.

다운로드한 후 압축을 푸시고 FTP로 접속하여 압축을 푼 파일 전체를 덮어 씌우기하시면 됩니다.

※ 주의 : 관리자모드 버전정보를 확인해 보시고 이미 패치가 되어 있다면 안하셔도 되며, 패치 날짜에 맞게 순차적으로 패치를 하여야 합니다. 패치가 어려우신 분은 별도로 문의 바랍니다.

주문형 제작과 해당 파일의 기능추가일 경우 해당파일을 일일이 비교하며 소스를 수정해야 합니다.

4.36.23 (2013.07.11) 

    :  embed 태그의 allowscriptaccess 속성을 이용한 XSS 취약점 해결 (i2sec 최호성님께서 알려 주셨습니다.) 

        AllowScriptAccess 의 값 always 를 제거하고 never 로 적용하여 플래시에서 스크립트가 실행되지 않도록 합니다.

         

        lib/common.lib.php 에서 conv_content() 함수의 내용 중 

        //$content = preg_replace("/(sc)(ript)/i", "sc$2", $content); 

        ... 

        // 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다. 

        // value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.

         //$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);

         // allowscript 속성의 param 태그를 삭제한다. 

        $content = preg_replace("#(<param.*?allowscript[^>]+>)(<\/param>)?#i", "", $content);

         // embed 태그의 allowscript 속성을 삭제한다. 

        $content = preg_replace("#(<embed.*?)(allowscriptaccess[^\s\>]+)#i", "$1", $content);

         // object 태그에 allowscript 의 값을 never 로 하여 태그를 추가한다. 

        $content = preg_replace("#(<object[^>]+>)#i", "$1<param name=\"allowscriptaccess\" value=\"never\">", $content);

         // embed 태그에 allowscrpt 값을 never 로 하여 속성을 추가한다. 

        $content = preg_replace("#(<embed[^>]+)#i", "$1 allowscriptaccess=\"never\"", $content);