출처 : http://www.xpressengine.com/18776625
XE XSS 취약점 패치
보안 패치 적용은 쉬운 설치, 변경된 파일만 적용 그리고 직접 코드 수정을 하는 방법이 있습니다.
이 중 변경된 파일 적용과 코드 수정법을 공지합니다.
1. 변경된 파일만 적용
xe.1.4.0.10.changed.tgz 파
일을 다운 받아 압축을 해제하시면 xe.changed 라는 디렉토리가 생깁니다.
이 디렉토리 내의
config에 있는 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의 config 디렉토리에
있는 파일에 덮어씌우시면 됩니다.
2. 소스 코드 수정
./config/func.inc.php 파일의 아래 내용을 수정하면 됩니다.
$attrs = preg_replace('/(r|n| )+on(click|dblclick|mousedown|mouseup|mouseover|mouseout|mousemove|keydown|keyup|keypress|load|unload|abort|error|select|change|submit|reset|resize|scroll|focus|blur|forminput|input|invaild|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousewheel|scroll|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting|message|show)+([= ]+)/is', ' _on$2=',$attrs);이
번 보안 패치는 아이러니 하게도 HTML5를 지원하지 않는 IE 브라우저에서는 발생하지 않습니다.
Safari,
Chrome, FireFox, Opera등 HTML5를 지원하는 브라우저에서만 발생하는 보안 취약점입니다.
이
보안 취약점을 알려주신 나우콤 침해사고분석대응팀 NOWCERT 김강섭님께 감사의 말씀을 드립니다.
* XSS (Cross Site Scripting)
http://ko.wikipedia.org/wiki/사이트_간_스크립팅
http://en.wikipedia.org/wiki/Cross-site_scripting
* XSS (Cross Site Scripting)
http://ko.wikipedia.org/wiki/사이트_간_스크립팅
http://en.wikipedia.org/wiki/Cross-site_scripting
'Security' 카테고리의 다른 글
| ProFTPD 1.3.3c 공식홈페이지에서 백도어가 포함된 버전 배포 (0) | 2010.12.08 |
|---|---|
| Samba 3.5.5, 3.4.9, 3.3.14 Security Releases (0) | 2010.09.15 |
| XE Core 1.4.0.7 배포 (CSRF 취약점 패치) (0) | 2010.02.25 |
| XE Core 1.3.1.1 이하 버전 CSRF 취약점 패치 (0) | 2009.12.22 |
| zeroboard 보안 취약점 패치 (2009. 09. 22) (0) | 2009.10.01 |