[보안패치] 그누보드 4.34.14 (수정됨) 정보
[보안패치] 그누보드 4.34.14 (수정됨)
첨부파일
본문
2011.10.05 09:30 이후로 수정 되었습니다.
이전에 다운로드 하신 회원님들께서는 bbs/write.php 만 덮어 씌우시거나 코드를 수정해 주시기 바랍니다.
글답변에서도 XSS 의 공격이 가능한 부분을 수정했습니다.
4.34.14 (11.10.04)
: [보안패치] 회원가입시 홈페이지 필드를 통한 SQL Injection 공격 예방
: [보안패치] 글수정, 답변시 링크 필드를 통한 XSS 공격 예방
(팔팔이님께서 알려 주셨습니다.)
bbs/register_form_update.php 에 추가 되었습니다.
$mb_homepage = trim(strip_tags(mysql_escape_string($_POST[mb_homepage])));
bbs/write_update.php 에 추가 되었습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
bbs/write.php 에 추가 되었습니다.
else if ($w == "u") {
...
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
...
} else if ($w == "r") {
...
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
}
------------------------------------------------------------------------------------
4.34.14 (11.10.04)
: [보안패치] 회원가입시 홈페이지 필드를 통한 SQL Injection 공격 예방
: [보안패치] 글쓰기시 링크 필드를 통한 XSS 공격 예방
(팔팔이님께서 알려 주셨습니다.)
bbs/register_form_update.php 에 추가 되었습니다.
$mb_homepage = trim(strip_tags(mysql_escape_string($_POST[mb_homepage])));
bbs/write_update.php 에 추가 되었습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
bbs/write.php 에 추가 되었습니다.
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
이전에 다운로드 하신 회원님들께서는 bbs/write.php 만 덮어 씌우시거나 코드를 수정해 주시기 바랍니다.
글답변에서도 XSS 의 공격이 가능한 부분을 수정했습니다.
4.34.14 (11.10.04)
: [보안패치] 회원가입시 홈페이지 필드를 통한 SQL Injection 공격 예방
: [보안패치] 글수정, 답변시 링크 필드를 통한 XSS 공격 예방
(팔팔이님께서 알려 주셨습니다.)
bbs/register_form_update.php 에 추가 되었습니다.
$mb_homepage = trim(strip_tags(mysql_escape_string($_POST[mb_homepage])));
bbs/write_update.php 에 추가 되었습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
bbs/write.php 에 추가 되었습니다.
else if ($w == "u") {
...
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
...
} else if ($w == "r") {
...
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
}
------------------------------------------------------------------------------------
4.34.14 (11.10.04)
: [보안패치] 회원가입시 홈페이지 필드를 통한 SQL Injection 공격 예방
: [보안패치] 글쓰기시 링크 필드를 통한 XSS 공격 예방
(팔팔이님께서 알려 주셨습니다.)
bbs/register_form_update.php 에 추가 되었습니다.
$mb_homepage = trim(strip_tags(mysql_escape_string($_POST[mb_homepage])));
bbs/write_update.php 에 추가 되었습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
bbs/write.php 에 추가 되었습니다.
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
댓글 전체
와우~ 1등이닷!!!
감사합니다.
감사합니다.
2등입니다~(등수 놀이중)
캄/사/합/니/닷!!
(개콘버전)
(개콘버전)
감↗사↘합↗니↘다↗
감사합니다
감사합니다
감사합니다.
넘 귀엽당~~~~~ㅋㅋ
감사합니다
감사합니다... 팔팔이님 수고하십니다.
에공..또 업뎃해야 겠네요...^^
감사합니다.
감사합니다.
감사합니다.
아 귀찮은데 그래도 해야죠..
감사합니다
감사합니다
우선 패치하기까진 글쓸때 링크 권한을 관리자만 두어야겠네요. 감사합니다.
감사합니다.
감사합니다.^^;
감사합니다.
감사합니다.
감사합니다.
계속업뎃이네용~~~감사합니다
감사합니다...^^
수정했습니다.^^
감사합니다~감사합니다~감사합니다~
감사합니다.
감사합니다.
감사합니다~
감사합니다~
위 수정하라고 하는글중에 위부분/ 아래부분 중 어느쭉이 맞나요.
아래부분이 맞는것 같은데요.
---------------------------------------------------------
bbs/write.php 에 추가 되었습니다.
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
-------------------------------------------------------------
write.php 파일을 보니 아래 부분으로 되어있는데요
HISTORY 파일에 보니 윗부분으로 되어 있어서요.
위 수정하라고 하는글중에 위부분/ 아래부분 중 어느쭉이 맞나요.
아래부분이 맞는것 같은데요.
---------------------------------------------------------
bbs/write.php 에 추가 되었습니다.
for ($i=1; $i<=$g4[link_count]; $i++) {
$write["wr_link".$i] = get_text($write["wr_link".$i]);
$link[$i] = $write["wr_link".$i];
}
-------------------------------------------------------------
write.php 파일을 보니 아래 부분으로 되어있는데요
HISTORY 파일에 보니 윗부분으로 되어 있어서요.
윗부분이 맞는것 같습니다.
새글작성시는 for문안에
$write["wr_link".$i] = get_text($write["wr_link".$i]);
이 문장이 추가된거구요, 답글작성시에는 for문 전체가 추가된거네요.
새글작성시는 for문안에
$write["wr_link".$i] = get_text($write["wr_link".$i]);
이 문장이 추가된거구요, 답글작성시에는 for문 전체가 추가된거네요.
감사합니다. 업데이트 했습니다.
죄송하지만 수정된 부분만 올려주셨으면..^^;
위가 맞는지 아래가 맞는지 정확한게 무엇인지 모르겠습니다...ㅠ ㅠ
먼지손님 말씀대로 우선 윗 부분의 소스코드를 입력해 두었는데 정확히 맞나요?^^;
위가 맞는지 아래가 맞는지 정확한게 무엇인지 모르겠습니다...ㅠ ㅠ
먼지손님 말씀대로 우선 윗 부분의 소스코드를 입력해 두었는데 정확히 맞나요?^^;
관리자님 헷갈리네요. 수정 부탁합니다./
업데이트 해야할곳이 많이 생겼군요
감사합니다.
감사합니다.
제 버전이 이건데...ㅠ.ㅠ
4.21.04 (07.12.04)
이걸로 그냥 덮어쒸우면 문제 없을까요??ㅡㅡ
4.21.04 (07.12.04)
이걸로 그냥 덮어쒸우면 문제 없을까요??ㅡㅡ
그냥 올리면..자살행위 ㅋㅋㅋㅋ 에러로 도배를......
그냥 덮어 씌우면 스킨과 많은 충돌이 발생할 겁니다.
감사합니다.^^
감사합니다
감사합니다. 적용 잘 됬습니다 ㅎ
졸지에 아래 동영상 스킨은 이제 사용못하게 생겼군요. -_- ;;
(외부 html 태그삽입부분이 wr_link1 필드를 사용하는지라~~)
http://sir.co.kr/bbs/board.php?bo_table=g4_skin&wr_id=95805
(외부 html 태그삽입부분이 wr_link1 필드를 사용하는지라~~)
http://sir.co.kr/bbs/board.php?bo_table=g4_skin&wr_id=95805
감사합니다.
그런데 10월 1일 패치가 적용 안되거 같은데... 전 파일 들여다봐도 안보이네요 ㅠㅠ 저만 그런건지...
그런데 10월 1일 패치가 적용 안되거 같은데... 전 파일 들여다봐도 안보이네요 ㅠㅠ 저만 그런건지...
감사합니다. 그누보드 계속 발전하시길
감사합니다.
고맙습니다. 복받으세요.
업뎃 후 유투브를 아이프레임으로 링크 걸면 충돌 나는 것은 저만 그런가요::
감사합니다~~~ 잘 쓰겠습니다~
감사합니다........
감사합니당..
동영상게시판 않되네요 ㅠㅠ
bbs/write_update.php 에서 아래를 삭제하면 작동합니다.
보안문제로 인하여 권장하지는 않습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
보안문제로 인하여 권장하지는 않습니다.
$wr_link1 = mysql_real_escape_string($_POST['wr_link1']);
$wr_link2 = mysql_real_escape_string($_POST['wr_link2']);
감사합니다.
