[보안패치] 그누보드 4.36.13
4.36.13 (2013.01.29)
: iframe 등의 tag 에 주석 처리가 되어 있는 경우의 (/**/) XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
: iframe 등의 tag 에 주석 처리가 되어 있는 경우의 (/**/) XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
첨부파일
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 39개
보안패치 업데이트 해주셔서 감사합니다.
그런데 패치 적용하면 유튜브 등의 동영상이 정상적으로 실행되지 않고 코드가 그대로 노출됩니다.
저만 이상한 건가요?
답변 좀 부탁드립니다.
HTML 코드가 그대로 보여지시는 분들께서는 아래 코드로 적용해 주시기 바랍니다.
lib/common.lib.php
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
를 위와 같이 수정하시면 정상적으로 작동할 것입니다.
Warning: preg_replace() [function.preg-replace]: Compilation failed: nothing to repeat at offset 4 in /home/rttyu/public_html/lib/common.lib.php on line 440
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
로 대체해 보십시오.
패치 적용하러 고고씽~
감사합니다.