XE 1.3.1.2 배포하였습니다. 알립니다
2009.12.21 20:34 EDIT
한국인터넷진흥원 (KISA)에서 CSRF관련 보안 취약점을 알려주셔서
관련 내용이 패치된 1.3.1.2 버전을 배포하였습니다.
Core 1.3.1.1에서 해당 패치(sandbox에는 [7063])만 추가된 버전입니다.
플래시를 이용한 CSRF공격을 막기 위해, 관리자 권한이 있는 아이디로 로그인 되어있을 경우에는
비관리자 아이디에서 올린 embed 파일 혹은 multimedia_link 컴포넌트를 이용한 자료의 해당 부분을 보이지 않도록 수정하였습니다.
조금 불편하시더라도 보안을 위한 최소한의 조치로 생각해주시면 감사하겠습니다.
쉬운 설치를 이용해서 업그레이드 하실 수 있도록 자료실에 올려놓았습니다.
혹은, 다운로드: [링크]
에서 받으실 수 있고,
1.3.1.1을 사용하시는 분들께서는 xe.1311.to.1312.tar.gz 를 받으셔서 적용하셔도 됩니다.
더 안전한 XE를 만들 수 있도록 노력하겠습니다. (__)
감사합니다.
댓글 32
-
-
홈 페이지 1.2.5 에서 순차적으로 1.3.1.2. 로 업데이트 했습니다.
결과 홈페이지가 접속이 되는곳도 있지만 접속이 안되는 곳 도 있습니다.
확인해 본 결과, 일반 php는 열리나 mysql로 쿼리를 해오는 과정이 불안합니다.
계속 시도해 보면 어떨 때는 쿼리가 일부 되기도 하고 어떤때는 아예 백지 상태로 표시됩니다.
난감 합니다.
주소는 http://www.joych.org 입니다.
Leave Comments
댓글 쓰기 권한이 없습니다. 회원 가입후에 사용 가능합니다
XE 1.1.3 버전에서 XE 1.3.1.2 버전으로 한번에 업그레이드 하였습니다.
업그레이드 한 후 게시판에서 확장변수로 작성된 내용이 보이지 않았습니다.
그러나 새로운 버전에서는 확장변수를 지원하는 게시판 스킨이 현재 "XE Official" 뿐이군요.
스킨을 변경한 후에 정상적으로 작동하고 있습니다.
확장 변수에 대하여 안내 해준 글이 도움이 되었습니다.
감사합니다..