[보안패치] 그누보드 4.33.10
4.33.10 (11.04.27)
: [보안패치] 회원정보수정시 세션에 기록된 패스워드를 알아낼 수 있는 취약점이 발견되었습니다.
(한국인터넷진흥원을 통하여 Null@Root 소속의 Hacker@n 님께서 알려주셨습니다.)
: 게시판복사시 복사되는 게시판 테이블의 CHARSET 이 제대로 생성되지 않는 오류를 수정하였습니다.
( 밀로즈님께서 알려주셨습니다. )
bbs/register_form.php
// 패스워드를 알아볼 수 없도록 회원가입일시를 넣어서 암호화 함
set_session("ss_tmp_password", base64_encode($member[mb_datetime].$_POST[mb_password]));
bbs/register_form_update.php
// 복호화를 한 후 회원가입일시를 없애주면 원래 패스워드가 나옴
$tmp_password = preg_replace("/^".$member[mb_datetime]."/", "", base64_decode(get_session("ss_tmp_password")));
lib/common.lib.php
function get_table_define($table, $crlf="\n")
{
global $g4;
...
if (strtolower($g4['charset']) == "utf-8")
$schema_create .= $crlf . ') DEFAULT CHARSET=utf8';
else
$schema_create .= $crlf . ')';
: [보안패치] 회원정보수정시 세션에 기록된 패스워드를 알아낼 수 있는 취약점이 발견되었습니다.
(한국인터넷진흥원을 통하여 Null@Root 소속의 Hacker@n 님께서 알려주셨습니다.)
: 게시판복사시 복사되는 게시판 테이블의 CHARSET 이 제대로 생성되지 않는 오류를 수정하였습니다.
( 밀로즈님께서 알려주셨습니다. )
bbs/register_form.php
// 패스워드를 알아볼 수 없도록 회원가입일시를 넣어서 암호화 함
set_session("ss_tmp_password", base64_encode($member[mb_datetime].$_POST[mb_password]));
bbs/register_form_update.php
// 복호화를 한 후 회원가입일시를 없애주면 원래 패스워드가 나옴
$tmp_password = preg_replace("/^".$member[mb_datetime]."/", "", base64_decode(get_session("ss_tmp_password")));
lib/common.lib.php
function get_table_define($table, $crlf="\n")
{
global $g4;
...
if (strtolower($g4['charset']) == "utf-8")
$schema_create .= $crlf . ') DEFAULT CHARSET=utf8';
else
$schema_create .= $crlf . ')';
첨부파일
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 22개
알려주세요. 백업해놓고 해야하나...
의 각각 해당 부분-
bbs/register_form.php
검색: set_session("ss_tmp_password", $_POST[mb_password]);
-->
// 패스워드를 알아볼 수 없도록 회원가입일시를 넣어서 암호화 함
set_session("ss_tmp_password", base64_encode($member[mb_datetime].$_POST[mb_password]));
로 변경
bbs/register_form_update.php
검색:
$tmp_password = get_session("ss_tmp_password");
--> // 복호화를 한 후 회원가입일시를 없애주면 원래 패스워드가 나옴
$tmp_password = preg_replace("/^".$member[mb_datetime]."/", "", base64_decode(get_session("ss_tmp_password")));
로 변경
lib/common.lib.php
검색:
} // end while
return $schema_create;
} // end of the 'PMA_getTableDef()' function
-->
} // end while
if (strtolower($g4['charset']) == "utf-8")
$schema_create .= $crlf . ') DEFAULT CHARSET=utf8';
else
$schema_create .= $crlf . ')';
return $schema_create;
} // end of the 'PMA_getTableDef()' function
로 변경
참고로
lib/common.lib.php 에서 변경된 부분이
다음 함수 부분인데
// PHPMyAdmin 참고
function get_table_define($table, $crlf="\n")
{
// For MySQL < 3.23.20
요 부분에
global $g4;
요걸 추가해서
// PHPMyAdmin 참고
function get_table_define($table, $crlf="\n")
{
global $g4;
// For MySQL < 3.23.20
요렇게 변경하셔야 합니다.. 그 내용은 빠진듯..
알려주셔서 감사합니다.
} // end while
$schema_create .= $crlf . ')';
return $schema_create;
} // end of the 'PMA_getTableDef()' function
$tmp_password = $mb_password;
이렇게 되어있어요.
괜찮겠죠?
하얀화면에서 스탑이네요ㅠ_ㅠ
부분입니다.
$tmp_password = $mb_password; 부분이 아니에요..
아~ 패치 따라가기 힘들어요 ㅎㅎ
그런데, 모든 파일을 업로드 해야하는건가요?
제가 utf 랭귀지팩 버전으로 쓰고 있늗네, 이것을 덮어 씌워도 괜찮을까요??
패치고생해주신 관리자님 감사합니다.