[보안패치] 그누보드 4.34.10 정보
[보안패치] 그누보드 4.34.10첨부파일
본문
4.34.10 (11.08.10)
: [보안패치] $_SERVER 배열변수 값의 변조를 이용한 SQL Injection 공격을 막는 코드입니다.
(SK Infosec 장경칩님께서 알려 주셨습니다.)
bbs/visit_insert.inc.php 의
$sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$_SERVER[REMOTE_ADDR]', '$g4[time_ymd]', '$g4[time_his]', '$_SERVER[HTTP_REFERER]', '$_SERVER[HTTP_USER_AGENT]' ) ";
를 아래 코드로 대체합니다.
$remote_addr = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
$referer = mysql_real_escape_string($_SERVER['HTTP_REFERER']);
$user_agent = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);
$sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$remote_addr', '$g4[time_ymd]', '$g4[time_his]', '$referer', '$user_agent' ) ";
: [보안패치] $_SERVER 배열변수 값의 변조를 이용한 SQL Injection 공격을 막는 코드입니다.
(SK Infosec 장경칩님께서 알려 주셨습니다.)
bbs/visit_insert.inc.php 의
$sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$_SERVER[REMOTE_ADDR]', '$g4[time_ymd]', '$g4[time_his]', '$_SERVER[HTTP_REFERER]', '$_SERVER[HTTP_USER_AGENT]' ) ";
를 아래 코드로 대체합니다.
$remote_addr = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
$referer = mysql_real_escape_string($_SERVER['HTTP_REFERER']);
$user_agent = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);
$sql = " insert $g4[visit_table] ( vi_id, vi_ip, vi_date, vi_time, vi_referer, vi_agent ) values ( '$vi_id', '$remote_addr', '$g4[time_ymd]', '$g4[time_his]', '$referer', '$user_agent' ) ";
댓글 전체
일등
조회도 일등 다운은 안함
제가 3개 씩이나 코멘트도 달아드림
한마디로 그누보드가 더 안전해졌다는 거군!?
감사합니다. (사실 구버젼 사용중이라 안쓸꺼긔)
감사합니다. (사실 구버젼 사용중이라 안쓸꺼긔)
구버젼과 상관 없이 저 화일만 교체하면 되는걸요?
감사합니다.
저렇게도 하는군요..;;
내일 패치해야겠습니다. 감사합니다.
내일 패치해야겠습니다. 감사합니다.
아하.. 이것 때문이었군요..
바로 보안패치했네요 ㅎㅎ; , 고맙습니닷!
패치~
이건 심각한데영 ㅋㅅㅋ;
이건 심각한데영 ㅋㅅㅋ;
감사합니다~
감사합니다..
감사합니다..
오 ㄳ ;
감사합니다
감사합니다.
감사합니다~
수고하셨습니다...
bbs/visit_insert.inc.php 이것만 업로드 시켜 덮어 씌우면 되나요?
감사합니다.
감사합니다.
감사요!
감사합니다!
계속 바뀌니 어렵구만요 ㅋ 수고하셨어요~
감사합니다~~~
'$_SERVER[HTTP_REFERER]', '$_SERVER[HTTP_USER_AGENT]' 는 사용자 정보니까염 ㅎ
오케이 여기까지 완료~~
감사합니다
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Good!!
크.. 이놈의 SQL Injection 공격..
감사합니다~!
감사합니다~!
적용해야 겠네요 감사합니다
감사합니다.
감사합니다
감사합니다
감사합니다
감사합니다.
감사 합니다.
감사합니다
감사합니다.
수고하셨습니다~ 감사
감사합니다.^^
감사합니다.
감사합니다. (__)
감사합니다~~~
고맙습니다. 복받으세요.
PHP 5.3.7 버전(현재 최신버전) 사용시 게시판 생성때 게시판을 생성하면,
상단 이미지가 gif, jpg, png 파일이 아닙니다 라는 메시지가 뜹니다. 라고 뜹니다.
gnuboard4/adm/board_form.update.php
화일에서 print_r2($_FILES);
해보면,
Array
(
[bo_image_head] => Array
(
[name] => !+
[type] =>
[tmp_name] =>
[error] => 4
[size] => 0
)
[bo_image_tail] => Array
(
[name] =>
[type] =>
[tmp_name] =>
[error] => 4
[size] => 0
)
[name] => !+ =>이 부분이 이상합니다.
아무것도 입력안했는데, php.ini 설정에 문제가 있는건지? 모르겠네요...
5.3 에 와서, 함수가 변경되는게 좀 있다고 들어서요...
상단 이미지가 gif, jpg, png 파일이 아닙니다 라는 메시지가 뜹니다. 라고 뜹니다.
gnuboard4/adm/board_form.update.php
화일에서 print_r2($_FILES);
해보면,
Array
(
[bo_image_head] => Array
(
[name] => !+
[type] =>
[tmp_name] =>
[error] => 4
[size] => 0
)
[bo_image_tail] => Array
(
[name] =>
[type] =>
[tmp_name] =>
[error] => 4
[size] => 0
)
[name] => !+ =>이 부분이 이상합니다.
아무것도 입력안했는데, php.ini 설정에 문제가 있는건지? 모르겠네요...
5.3 에 와서, 함수가 변경되는게 좀 있다고 들어서요...
고생 많으십니다. 그누보드 자체 패치도 패치지만.. 배포판에 포함되어 있는 CHEditor 5.x 버전에 크로스브라우징 문제가 있어 이에 대한 업데이트도 반드시 필요한 듯 합니다... 함께 배포되는 CHEditor 버전에서 발생하던 문제들이 좀 잡힌 최근 버전으로 말이죠..
그누보드형님들 수고많으십니다 감사합니다 ㅎㅎ
감사합니다
감사합니다.
언제나 감사합니다.
감사합니다.
감사합니다. ^^
감사합니다.
패치를해야하는데 정작귀찮아서 ㅠㅠ
아 귀찮아ㅠ
캐감솨.....^^
common.php에서 미리 처리해두는 방법은 어떨까요?
$_SERVER['REMOTE_ADDR'] = $HTTP_SERVER_VARS['REMOTE_ADDR'] = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
$_SERVER['REMOTE_ADDR'] = $HTTP_SERVER_VARS['REMOTE_ADDR'] = mysql_real_escape_string($_SERVER['REMOTE_ADDR']);
감사합니다.
감사합니다.
감사합니다....
항상 감사드립니다. 행복한 명절되세요
감사합니다.
감사합니다!!
감사합니다.
수고하셨습니다~!
마침 한군데 사이트에 이상이 생겼는데, 감사합니다. :)
더불어 인젝션 공격 방지를 알려주신 SK Infosec 장경칩님도 감사합니다. :)
마침 한군데 사이트에 이상이 생겼는데, 감사합니다. :)
더불어 인젝션 공격 방지를 알려주신 SK Infosec 장경칩님도 감사합니다. :)
감사합니다.^^
감사합니다요
!
!
아 보안패치 나오면 좋은 일이지만 업그레이드를 몬해서 슬픔 ㅠㅠㅠ
감사합니다
감사합니다.