그누보드 4.36.25
4.36.25 (2013.08.19)
: mysql_escape_string 는 PHP 5.3 부터 사용되지 않습니다.
mysql_real_escape_string 로 대체합니다.
bbs/point.php
bbs/register_form_update.php
bbs/write_update.php
4.36.24 (2013.07.16)
: embed 태그의 allowscriptaccess 속성을 이용한 XSS 취약점 보완
lib/common.lib.php 에서 conv_content() 함수의 내용이 아래와 같이 수정 되었습니다.
// 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.
// value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
//$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);
// allowscript 속성의 param 태그를 삭제한다.
//$content = preg_replace("#(<param.*?allowscript[^>]+>)(<\/param>)?#i", "", $content);
$content = preg_replace("#<param[^>]+AllowScriptAccess[^>]+>(<\/param>)?#i", "", $content);
// embed 태그의 allowscript 속성을 삭제한다.
//$content = preg_replace("#(<embed.*?)(allowscriptaccess[^\s\>]+)#i", "$1", $content);
$content = preg_replace("#(<embed[^>]+)(allowscriptaccess[^\s\>]+)#i", "$1", $content);
// object 태그에 allowscript 의 값을 never 로 하여 태그를 추가한다.
$content = preg_replace("#(<object[^>]+>)#i", "$1<param name=\"allowscriptaccess\" value=\"never\">", $content);
// embed 태그에 allowscrpt 값을 never 로 하여 속성을 추가한다.
$content = preg_replace("#(<embed[^>]+)#i", "$1 allowscriptaccess=\"never\"", $content);
: mysql_escape_string 는 PHP 5.3 부터 사용되지 않습니다.
mysql_real_escape_string 로 대체합니다.
bbs/point.php
bbs/register_form_update.php
bbs/write_update.php
4.36.24 (2013.07.16)
: embed 태그의 allowscriptaccess 속성을 이용한 XSS 취약점 보완
lib/common.lib.php 에서 conv_content() 함수의 내용이 아래와 같이 수정 되었습니다.
// 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.
// value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
//$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);
// allowscript 속성의 param 태그를 삭제한다.
//$content = preg_replace("#(<param.*?allowscript[^>]+>)(<\/param>)?#i", "", $content);
$content = preg_replace("#<param[^>]+AllowScriptAccess[^>]+>(<\/param>)?#i", "", $content);
// embed 태그의 allowscript 속성을 삭제한다.
//$content = preg_replace("#(<embed.*?)(allowscriptaccess[^\s\>]+)#i", "$1", $content);
$content = preg_replace("#(<embed[^>]+)(allowscriptaccess[^\s\>]+)#i", "$1", $content);
// object 태그에 allowscript 의 값을 never 로 하여 태그를 추가한다.
$content = preg_replace("#(<object[^>]+>)#i", "$1<param name=\"allowscriptaccess\" value=\"never\">", $content);
// embed 태그에 allowscrpt 값을 never 로 하여 속성을 추가한다.
$content = preg_replace("#(<embed[^>]+)#i", "$1 allowscriptaccess=\"never\"", $content);
첨부파일
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 23개