![SIR [보안패치] 그누보드 4.34.23 - 그누보드 SIR](../img/theme/default/logo.png?_=2013-06-19){kind=logo}
[보안패치] 그누보드 4.34.23
관리자- 작성일시
- 조회 3,299
- 댓글 27
첨부파일
본문
: [XSS] OBJECT 태그에서 javascript를 실행할수 있는 버그를 수정 (i2Sec 8기 하동민님께서 알려 주셨습니다.)
: [XSS] 글쓰기시 이름에 HTML 태그가 입력되지 못하도록 수정 (i2Sec 8기 강우창님께서 알려 주셨습니다.)
: login, logout시 외부로 리다이렉트 할 우려가 있어 url에 도메인을 지정하지 못하도록 수정 (i2Sec 8기 조민기님께서 알려 주셨습니다.)
: cheditor4의 삭제 코드에 문제가 있어 이번 버전부터는 cheditor4는 제외하고 배포합니다. (i2Sec 8기 조민기님께서 알려 주셨습니다.)
: 이외에도 i2Sec 8기 여러분들께서 SQL Injection 등의 오류를 알려 주셨으나 그누보드4가 소스코드를 오픈하고 있으므로
해당 오류는 SQL Injection으로 보기 어렵습니다. 도움주신 i2Sec 8기 여러분들께 감사의 말씀을 전합니다.
lib/common.lib.php 의
function bad120422($matches)
{
$code = $matches[1];
if (preg_match("#script#i", $code)) {
return "OBJECT 태그에 스크립트는 사용 불가합니다.";
} else if (preg_match("#base64#i", $code)) {
return "OBJECT 태그에 BASE64는 사용 불가합니다.";
}
}
// object 태그에서 javascript 코드 막기
$content = preg_replace_callback("#<object([^>]+)>#i", "bad120422", $content);
bbs/write_update.php 의
$wr_name = strip_tags(mysql_escape_string($_POST['wr_name']));
bbs/login.php
bbs/logout.php 의
$p = parse_url($url);
if ($p['scheme'] || $p['host']) {
alert("url에 도메인을 지정할 수 없습니다.");
}
댓글보기
늘 감사합니다.
에궁 휴일날도 업데이트를 .... 감사합니다.
너무 숙오가 많으십니다. (__) 감사합니다.
감사합니다
두 파일만 수정하면 되나요?
감사합니다~
관리자님은...참으로 신비로워요..
감사히 받아갑니다 ㅎㅎ
감사합니다.
감사합니다.
감사합니다.
감사합니다.
항상 감사 하는 마음 ^
감사합뉘다
감사합니다...
감사합니다
감사합니다.^^
감사 합니다. ^^
i2Sec 8기 <= 근데 이분들은 뭐하시는 분들인가요 ? ^^
감사합니다....^^
감사합니다. 오늘도 업데이트 몰아하기~
고맙습니다. ^^*
P.S.
하동민님 (X) , 하동민 님 (O) ^!~
감사합니다.
감사합니다~
감사합니다.
도움주신 여러분께 감사드립니다.
감사합니다.(_ _)
감사합니다. ^^
감사합니다
로그인 하시면 댓글을 남길 수 있습니다.