로그인 여부와 파일 업로드와 해킹이 상관이 있나요?

해당 내용이 어떠한 사항인지 개인적으로 받아볼수 있을까요? 그누보드외 작업본에 달아둔게 많아서 ㅠ.ㅠ

와,,순시리가 여기까지 손을 뻗친걸까요?

@letsgolee 감사합니다.!

http://dev.naver.com/projects/smarteditor/download/note/7820  최신 버전 2.8.2.3으로 업그레이드 해야 되나요?

@앱개발 이미 그누보드5 배포버전에 http://sir.kr/g5_pds/3496 추가되어있는걸로 알고 있습니다.

아. 안하셨다면 보안패치는 꼭 하셔야 하구요.

@l2zeo 그누보드 5.2.4에 포함되어 있는 smarteditor2가 2.3.10인것으로 확인했습니다.  http://dev.naver.com/projects/smarteditor/download/note/6012 에서 
"사진 퀵 업로더 샘플 null byte injection 취약점 관련 패치가 포함되어 있습니다.
이전 버전에서 보안 패치만 적용하시려면 아래의 파일을 업데이트 하십시오. "  인 것 같고..

2.8.2.3 의 링크에 http://dev.naver.com/projects/smarteditor/download/note/7826
"사진 업로더 샘플에 보안취약점이 추가로 확인되어 가장 최신버전2.8.2 에 핫픽스 반영하였습니다.
2.8.2미만 버전을 사용하고 계신 경우, 보안패치된 file_uploader.php 파일만 다운받아 덮어씌우시면 됩니다. "

다시 보안 취약점에 대한 내용이 있습니다.

php 파일이 업로드 되어도 보안과는 상관없습니다.
보안문제는 업로드된 php 파일을 외부 접근으로 실행할 수 있느냐 없느냐입니다.

@잉끼다 사이트 전체 경로가 다 보이는 상황에서의 .php파일 업로드가 가능하다면 외부접근은 쉬워 보이는데 문제가 없을까요? 업로드에 대한 확장자 필터링을 위와 같은 문제로 제한을 두는 것인데?

관련 이슈에 대한 정보를 저도 좀 받아볼수 있을까요?

앱개발님께서 링크하신 스마트에디터 업데이트를 먼저 하셔야 할것 같네요....ㅠㅠ

그리고 가능하다면 이미지로 위장된 스크립트 파일인지 확인한 후 업로드되게 해야하고
그것이 어렵다면 서버단에서 위장된 스크립트가 작동되지 않도록 수정해야 할듯 싶네요.

직접 서버를 운영하시면 httpd.conf 파일에
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
를 추가하신후 아파치를 재구동 하시면 이미지에 숨겨진 모든 스크립트가 실행되지 않도록 할 수 있습니다.

호스팅 사용자분들은
.htaccess  파일에 아래 내용을 입력하고 저장하시면 같은 효과를 보십니다...^^

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

@묵공  그누보드 기준으로 data 폴더 권한 755 / 파일권한 644 를 가지게 됩니다.  root 계정일지라도 업로드된 파일실행이 불가능합니다.

@잉끼다 그누보드 권장 data퍼미션은 "707"이고 아래는 파일명에 "thumb-XXX"라는 식으로 올려봤습니다. 확장자 위변조 파일이 실행가능하다는 이야기고 다행스럽게도 카페24는 서버단에서 서버스크립트(PHP)에 대한 실행을 막고 있는 듯 합니다.

@묵공 물론 *.php 파일 업로드가능을 추천하지는 않아지만, php 파일을 업로드하고, http url 로 해당 파일에 접근했는데 그 파일이 실행이 안되는 것이 정상입니다.
그 파일이 실행된다면 파일권한 설정이 잘못된겁니다.

@묵공 그누보드 설치시 /data 만 707을 가지고 이후 생성되는 하위 폴더는 755 파일은 644을 가지게 됩니다.^^

@잉끼다 본문과는 다른 내용이겠지만. 해당 파일은 첨부된 이미지와 같이 퍼미션 "644"에 대한 테스트였습니다. 관련해서 테스트를 해 봤는데 에디터 버전과 상관이 있는 지는 모르겠으나 카페24 호스팅(기타 대부분의 호스팅)+그누보드5 최근 버전에 설치시의 위변조 파일 자체는 업로드 자체가 되고 있지 않으니 개인서버 이용자들만 아파치님 설명대로 한번 채크하시면 될 듯 합니다.

@묵공 아..그러고보니 텍스트 출력과 실행과의 차이가 출력과 상관없이 실행 자체는 막혀있겠네요.^^

@잉끼다 data 폴더 안의 하위폴더와 파일도 모두 707로 설절되어 있는데,
잉끼다 님 말씀처럼, 폴더는 755 , 파일은 644로 설정하려면 어떻게 해야 하는지?

심각한 문제라면 일단 버그란에 먼저 신고를 하시고 후속대책을 개발진과 의논하시는게 좋을 것 같습니다.
괜히 따라하는 사람이 생길 수 있으니까요. 긴급한 사안이라면 개발진에서 잘 대응하리라 생각됩니다.
수고하세요.

@묵공 저도 본문의 내용이 긴급하게 사용금지를 할 정도의 상황이 아니란 것을 말하고 싶었을 뿐입니다. ^^

@잉끼다 네. 잉끼다님 답변이 맞습니다. 해당 이슈에 대해 일반 호스팅 사용자이고 그누보드5 보안패치를 꾸준하게 해 오신 분이라면 그냥 별 걱정없이 써도 되겠더군요. 감사합니다.

저는 해외아이피 전면차단하고 html 편집기 모두 지우고 텍스트 편집기로 설정, data 폴더 php 올리 더라도 url 접속하면 다운로드 되도록 아파치 설정했습니다.
이틀간 밤잠 설쳐서 정신 좀 차린 다음 최신 패치를 시작하려 합니다.
최신으로 패치 단행하십시요. 맞으면 많이 아픕니다.