출처 : http://www.xpressengine.com/18557716
flash를 이용한 CSRF공격이라 관리자로 로그인시 해당 flash를 읽지않게 패치한듯 합니다.
--------------------------------------------------------------------------------------------
한국인터넷진흥원 (KISA)에서 CSRF관련 보안 취약점을 알려주셔서 관련 내용이 패치된 1.3.1.2 버전을
배포하였습니다. Core 1.3.1.1에서 해당 패치(sandbox에는 [7063])만 추가된 버전입니다.
플래시를 이용한 CSRF공격을 막기 위해, 관리자 권한이 있는 아이디로 로그인 되어있을 경우에는
비관리자 아이디에서 올린 embed 파일 혹은 multimedia_link 컴포넌트를 이용한 자료의 해당 부분을
보이지 않도록 수정하였습니다.
조금 불편하시더라도 보안을 위한 최소한의 조치로 생각해주시면 감사하겠습니다.
쉬운 설치를 이용해서 업그레이드 하실 수 있도록 자료실에 올려놓았습니다.
혹은, 다운로드: [링크] 에서 받으실 수 있고,
1.3.1.1을 사용하시는 분들께서는 xe.1311.to.1312.tar.gz 를 받으셔서 적용하셔도 됩니다.
'Security' 카테고리의 다른 글
| XE XSS 취약점 패치 (0) | 2010.03.17 |
|---|---|
| XE Core 1.4.0.7 배포 (CSRF 취약점 패치) (0) | 2010.02.25 |
| zeroboard 보안 취약점 패치 (2009. 09. 22) (0) | 2009.10.01 |
| Break-In attempt on www.centos.org (0) | 2009.07.06 |
| XpressEngine 1.2.1 이하 모든 버전의 파일 다운로드 관련 보안 패치 (0) | 2009.04.16 |