[보안패치] 그누보드 4.34.21 정보
[보안패치] 그누보드 4.34.21첨부파일
본문
4.34.21 (2012.03.09)
: [보안패치] 파일명을 이용한 XSS 취약점 수정 (wh1ant님께서 도움 주셨습니다.)
: UTF-8 사용시 링크에서 한글이 깨지던 오류 수정 (forever님, NaviGator님께서 도움 주셨습니다.)
skin/board/basic/view.skin.php 을 아래와 같이 수정하세요.
echo "<a href=\"javascript:file_download('{$view[file][$i][href]}', '".urlencode($view[file][$i][source])."');\" title='{$view[file][$i][content]}'>";
...
<? if ($board[bo_download_point] < 0) { ?>if (confirm("'"+decodeURIComponent(file)+"' 파일을 다운로드 하시면 포인트가 차감(<?=number_format($board[bo_download_point])?>점)됩니다.\n\n포인트는 게시물당 한번만 차감되며 다음에 다시 다운로드 하셔도 중복하여 차감하지 않습니다.\n\n그래도 다운로드 하시겠습니까?"))<?}?>
lib/common.lib.php 의 function url_auto_link($str) 에서
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
를
global $g4;
...
if (strtoupper($g4['charset']) == 'UTF-8') {
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[가-힣\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
} else {
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
}
로 수정하세요.
: [보안패치] 파일명을 이용한 XSS 취약점 수정 (wh1ant님께서 도움 주셨습니다.)
: UTF-8 사용시 링크에서 한글이 깨지던 오류 수정 (forever님, NaviGator님께서 도움 주셨습니다.)
skin/board/basic/view.skin.php 을 아래와 같이 수정하세요.
echo "<a href=\"javascript:file_download('{$view[file][$i][href]}', '".urlencode($view[file][$i][source])."');\" title='{$view[file][$i][content]}'>";
...
<? if ($board[bo_download_point] < 0) { ?>if (confirm("'"+decodeURIComponent(file)+"' 파일을 다운로드 하시면 포인트가 차감(<?=number_format($board[bo_download_point])?>점)됩니다.\n\n포인트는 게시물당 한번만 차감되며 다음에 다시 다운로드 하셔도 중복하여 차감하지 않습니다.\n\n그래도 다운로드 하시겠습니까?"))<?}?>
lib/common.lib.php 의 function url_auto_link($str) 에서
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
를
global $g4;
...
if (strtoupper($g4['charset']) == 'UTF-8') {
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[가-힣\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
} else {
$str = preg_replace("/([^(HREF=\"?'?)|(SRC=\"?'?)]|\(|^)((http|https|ftp|telnet|news|mms):\/\/[a-zA-Z0-9\.-]+\.[\xA1-\xFEa-zA-Z0-9\.:=_\?\/~\+%@;\-\|\,\(\)]+)/i", "\\1<A HREF=\"\\2\" TARGET='$config[cf_link_target]'>\\2</A>", $str);
}
로 수정하세요.
댓글 전체
감사합니다.
감사합니다. ^^
삼등
감사합니다^^
감사합니다^^
감사합니다.
감사합니다
감사합니다.
또 업데이트 해야 하네요.
또 업데이트 해야 하네요.
감사합니다.
감사합니다
감사합니다.
감사합니다...^^
감사합니다.
감사합니다.
수고하셨습니다.
감사합니다.
감사합니다
감사합니다..!!
관선생님 감사합니다. 복받으실거예요^^
감사합니다.
감사합니다.
감사합니다.
감사합니다
감사합니다^^~~~~~
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
고맙습니다. ~
감사합니다.!!
감사합니다^^
감사합니다
넋놓고 있다가 어제 보았는데 ....
어제 내용과 오늘 내용이 조금 다르네요.
추가로 수정 하신듯 ....
감사합니다.
어제 내용과 오늘 내용이 조금 다르네요.
추가로 수정 하신듯 ....
감사합니다.
감사합니다..
감사합니다...^^
감사합니다...^^
수고하셨습니다 ^^
고맙습니다. 복받으세요.
감↘사↗합↘니↗다↘
감사합니다. 오랜만에 업데이트 몰아하기~~
감사합니다.
감사합니다
감사합니다.
감사합니다.
수고가 많으셨으나.. 매번 사이트보면서 느끼는건데요... 수정을 해서 올려주심 안되나요?
너무 투덜인가? 근데 가만 보면..수정하는것때문에 문제가 많이 발생을 하는경우가 있더라구요..
올리신분이야 수고가 많으신데... 저같은 초보는 여러번 실패를하죠.. 저거하나로..어떻게 넣지?
뭐이런거요.. 그리고 넣어두면 뭔가가 애러 정상인데...하면 다른데도 문제가.. 뭐이런거죠....
완전 투덜거린 초보입니다.. 완전 초보중에 초보... 하다하다안되서..그래여..ㅎㅎㅎ 이해바랍니다..
수고하신분 생각도 못하고 이렇게........흠..... 그러나 초보중에왕초보도 생각을 부탁드려요...
너무 투덜인가? 근데 가만 보면..수정하는것때문에 문제가 많이 발생을 하는경우가 있더라구요..
올리신분이야 수고가 많으신데... 저같은 초보는 여러번 실패를하죠.. 저거하나로..어떻게 넣지?
뭐이런거요.. 그리고 넣어두면 뭔가가 애러 정상인데...하면 다른데도 문제가.. 뭐이런거죠....
완전 투덜거린 초보입니다.. 완전 초보중에 초보... 하다하다안되서..그래여..ㅎㅎㅎ 이해바랍니다..
수고하신분 생각도 못하고 이렇게........흠..... 그러나 초보중에왕초보도 생각을 부탁드려요...
?? 수정해서 새로 올리시는거잖아요?
중간에 ...은 안넣어도 되는건가요???
감사히 받습니다. (__)
게시판에 카운트가 숫자앞에 마이나스가 생기네여~
감사합니다 잘쓸께요!
정말 감사합니다....