[웹드로우] 그누보드4 업데이트 4.37.34

페이지 정보

조회 2,977회 작성일 2015-08-13 12:52 URL https://webdraw.kr/notice/377

본문

4.37.32, 4.37.33은 버그가 있어 최종 버전을 올립니다.

 

4.37.32 (2015.08.11) 

    : 글쓰기에서 XSS 취약점이 발견되어 수정 (장진석님께서 알려 주셨습니다.)

        htmlpurifier/* 폴더 추가
        lib/html_purifier.lib.php 파일 추가

        bbs/write_update.php 가 아래와 같이 수정 되었습니다.

            include_once($g4['path'] . '/lib/html_purifier.lib.php');
            ...

            $wr_content = html_purifier($wr_content); 

 

 

4.37.33 (2015.08.12) 

    : 4.37.32 버전에서 버그가 있어 수정
      글저장시 htmlpurifier 를 작동하지 않고 글읽기에서 htmlpurifier 를 작동하게 하였습니다.

        bbs/write_update.php 가 아래와 같이 수정 되었습니다.
        아래 코드를 삭제하시거나 주석 처리 하십시오.

            //include_once($g4['path'] . '/lib/html_purifier.lib.php');
            ...
            //$wr_content = html_purifier($wr_content);

        bbs/view.php 가 아래와 같이 수정 되었습니다.

            include_once($g4['path'] . '/lib/html_purifier.lib.php');
            ...
            $view[content] = html_purifier($view[content]);

        lib/common.lib.php 가 아래와 같이 수정 되었습니다.
        iframe 태그를 사용하여 유튜브의 동영상을 재생하려는 경우에는 필히 수정해 주십시오
           
            //return preg_replace("/\<([\/]?)(script|iframe|form|applet)([^\>]*)\>?/i", "&lt;$1$2$3&gt;", $code);

            return preg_replace("/\<([\/]?)(script|form|applet)([^\>]*)\>?/i", "&lt;$1$2$3&gt;", $code); 

 

 

4.37.34 (2015.08.13) 

    : 4.37.33 버전에서 버그가 있어 수정 

      일부 서버에서 HTMLPurifier.standalone.php 파일 실행시 오류가 있어 htmlpurifier의 사용여부를 선택하게 하였습니다. 

      XSS를 막는 필터링을 사용하기 위해서는 define('G4_HTML_PURIFIER', true); 로 사용하시면 됩니다. 

      

        config.php 에 추가 되었습니다. 

 

            define('G4_HTML_PURIFIER', false); 

 

        lib/html_purifier.lib.php 가 아래와 같이 수정 되었습니다. 

 

            // 상수 선언이 되어 있지 않거나 상수의 값이 거짓이면 필터링 없이 반환 

            if (!defined('G4_HTML_PURIFIER') || !G4_HTML_PURIFIER) 

                return $html; 


MENU