[보안패치] 그누보드 4.34.10 > 그누4 다운로드

그누4 다운로드

여러분께서 보고 계시는 이 사이트는 그누보드4 최신버전으로 제작, 운영되고 있습니다.
SIR은 그누보드를 만들 뿐 프로그램의 설치, 운영방법, 설정문제에 관한 도움을 드리지는 않습니다.

[보안패치] 그누보드 4.34.10 정보

[보안패치] 그누보드 4.34.10

첨부파일

gnuboard4.euckr.tgz (2.6M) 3517회 다운로드 2011-08-10 18:43:26
gnuboard4.utf8.tgz (2.7M) 2968회 다운로드 2011-08-10 18:43:26

본문

4.34.10 (11.08.10)
    :  [보안패치] $_SERVER 배열변수 값의 변조를 이용한 SQL Injection 공격을 막는 코드입니다.
        (SK Infosec 장경칩님께서 알려 주셨습니다.)

        bbs/visit_insert.inc.php 의

            $sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$_SERVER[REMOTE_ADDR]', '$g4[time_ymd]', '$g4[time_his]', '$_SERVER[HTTP_REFERER]', '$_SERVER[HTTP_USER_AGENT]' ) ";

            를 아래 코드로 대체합니다.

            $remote_addr = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
            $referer    = mysql_real_escape_string($_SERVER['HTTP_REFERER']);
            $user_agent  = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);
            $sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$remote_addr', '$g4[time_ymd]', '$g4[time_his]', '$referer', '$user_agent' ) ";
  • 복사

댓글 전체

PHP 5.3.7 버전(현재 최신버전) 사용시 게시판 생성때 게시판을 생성하면,
상단 이미지가 gif, jpg, png 파일이 아닙니다 라는 메시지가 뜹니다. 라고 뜹니다.
gnuboard4/adm/board_form.update.php
화일에서 print_r2($_FILES);
해보면,

Array
(
    [bo_image_head] => Array
        (
            [name] => !+
            [type] =>
            [tmp_name] =>
            [error] => 4
            [size] => 0
        )

    [bo_image_tail] => Array
        (
            [name] =>
            [type] =>
            [tmp_name] =>
            [error] => 4
            [size] => 0
        )

    [name] => !+  =>이  부분이 이상합니다.

아무것도 입력안했는데, php.ini 설정에 문제가 있는건지? 모르겠네요...
5.3 에 와서, 함수가 변경되는게 좀 있다고 들어서요...
고생 많으십니다. 그누보드 자체 패치도 패치지만.. 배포판에 포함되어 있는 CHEditor 5.x 버전에 크로스브라우징 문제가 있어 이에 대한 업데이트도 반드시 필요한 듯 합니다... 함께 배포되는 CHEditor 버전에서 발생하던 문제들이 좀 잡힌 최근 버전으로 말이죠..
common.php에서 미리 처리해두는 방법은 어떨까요?
$_SERVER['REMOTE_ADDR'] = $HTTP_SERVER_VARS['REMOTE_ADDR'] = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
수고하셨습니다~!
마침 한군데 사이트에 이상이 생겼는데, 감사합니다. :)
더불어 인젝션 공격 방지를 알려주신 SK Infosec 장경칩님도 감사합니다. :)
© SIRSOFT
현재 페이지 제일 처음으로