[보안패치] 그누보드 4.36.13 정보
[보안패치] 그누보드 4.36.13첨부파일
본문
4.36.13 (2013.01.29)
: iframe 등의 tag 에 주석 처리가 되어 있는 경우의 (/**/) XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
: iframe 등의 tag 에 주석 처리가 되어 있는 경우의 (/**/) XSS 취약점 해결
장원용 님께서 한국인터넷진흥원(KISA)을 통하여 알려 주셨습니다.
lib/common.lib.php 를 다음과 같이 수정 하였습니다.
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
...
$content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);
댓글 전체
감사합니다~^^
감사합니다
감사합니다
업데이트 바로 하겠습니다.
고맙습니다.
감사합니다.^^
감사합니다~
오랜만에 업데이트나왔네요~!
안녕하세요.
보안패치 업데이트 해주셔서 감사합니다.
그런데 패치 적용하면 유튜브 등의 동영상이 정상적으로 실행되지 않고 코드가 그대로 노출됩니다.
저만 이상한 건가요?
답변 좀 부탁드립니다.
보안패치 업데이트 해주셔서 감사합니다.
그런데 패치 적용하면 유튜브 등의 동영상이 정상적으로 실행되지 않고 코드가 그대로 노출됩니다.
저만 이상한 건가요?
답변 좀 부탁드립니다.
게시물 내용이 전부 태그로 출력되고 있습니다
패치에 문제가 있었습니다.
HTML 코드가 그대로 보여지시는 분들께서는 아래 코드로 적용해 주시기 바랍니다.
lib/common.lib.php
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
를 위와 같이 수정하시면 정상적으로 작동할 것입니다.
HTML 코드가 그대로 보여지시는 분들께서는 아래 코드로 적용해 주시기 바랍니다.
lib/common.lib.php
// tag 내의 주석문 무효화 하기
function bad130128($matches)
{
$str = $matches[2];
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
}
를 위와 같이 수정하시면 정상적으로 작동할 것입니다.
위와 같이 수정하니 아래와 같은 에러가 나는데요.
Warning: preg_replace() [function.preg-replace]: Compilation failed: nothing to repeat at offset 4 in /home/rttyu/public_html/lib/common.lib.php on line 440
Warning: preg_replace() [function.preg-replace]: Compilation failed: nothing to repeat at offset 4 in /home/rttyu/public_html/lib/common.lib.php on line 440
코드가 잘못 된것 같습니다.
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
로 대체해 보십시오.
return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';
로 대체해 보십시오.
잘되네요... 감사합니다^^
감사합니다.
수고 많으셨습니다.....^^
패치 적용하러 고고씽~
패치 적용하러 고고씽~
감사합니다.
수고하셨습니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다. 잘쓰겠습니다.
감사합니다.
감사합니다!~
감사합니다.
감사합니다
감사합니다~
잘쓰겠습니다~
늘 감사합니다.^^
감사 합니다.
감사합니다.
감사합니다!!
감사합니다~
감사합니다.
감사합니다
감사합니다.