[보안패치] 그누보드 5.0.34 정보
[보안패치] 그누보드 5.0.34
첨부파일
본문
** 5.0.34 버전의 수정 내역
XSS 취약점 수정(한국인터넷진흥원 최명균님이 알려주셨습니다.)
안전하지 않는 사이트 리다이렉션 취약점(한국인터넷진흥원손기종님이 알려주셨습니다.)
https://github.com/gnuboard/gnuboard5/commit/330e656544fd3cd209178a79131995d35858e72d
53e921d check_url_host 함수 수정
M lib/common.lib.php
0835753 안전하지 않는 사이트 리다이렉션 취약점 수정
M bbs/alert.php
M bbs/confirm.php
M bbs/login.php
M bbs/login_check.php
M lib/common.lib.php
d701f84 AGENT를 이용한 XSS 취약점 수정
M adm/visit_list.php
M adm/visit_search.php
M bbs/visit_insert.inc.php
08f7c21 사용하지 않는 코드 삭제
M adm/boardgroupmember_form.php
M adm/boardgroupmember_list.php
M adm/mail_list.php
M adm/member_list.php
M adm/poll_list.php
XSS 취약점 수정(한국인터넷진흥원 최명균님이 알려주셨습니다.)
안전하지 않는 사이트 리다이렉션 취약점(한국인터넷진흥원손기종님이 알려주셨습니다.)
https://github.com/gnuboard/gnuboard5/commit/330e656544fd3cd209178a79131995d35858e72d
53e921d check_url_host 함수 수정
M lib/common.lib.php
0835753 안전하지 않는 사이트 리다이렉션 취약점 수정
M bbs/alert.php
M bbs/confirm.php
M bbs/login.php
M bbs/login_check.php
M lib/common.lib.php
d701f84 AGENT를 이용한 XSS 취약점 수정
M adm/visit_list.php
M adm/visit_search.php
M bbs/visit_insert.inc.php
08f7c21 사용하지 않는 코드 삭제
M adm/boardgroupmember_form.php
M adm/boardgroupmember_list.php
M adm/mail_list.php
M adm/member_list.php
M adm/poll_list.php
댓글 19개
수고많으십니다....
lib/common.lib.php 를 패치후 화면들이 백지로 됩니다.
로그인 시 체크가 안되는 모양입니다...
lib/common.lib.php 를 패치후 화면들이 백지로 됩니다.
로그인 시 체크가 안되는 모양입니다...
데모사이트에 적용되어 있습니다.
http://demo.sir.co.kr/gnuboard5/ 이상없이 화면이 표시되고 있습니다.
http://demo.sir.co.kr/gnuboard5/ 이상없이 화면이 표시되고 있습니다.
됐습니다....ㅜㅜ
제가 뭔가 잘못했나 봅니다....
제가 뭔가 잘못했나 봅니다....
감사합니다.
감사합니다
감사합니다...^^
define('G5_GNUBOARD_VER', '5.0.34');
define('G5_GNUBOARD_VER', '5.0.34');
감사합니다~!!
http://checkbox.tistory.com/933 안녕하세요. 혹시 저기 있는 내용도 반영해 주실 수 있나요?
아래 내용.
*******************
common.lib.php에 아래 함수를 넣어줍니다.
function sql_old_password($value)
{
$row = sql_fetch(" select old_password('$value') as pass ");
return $row[pass];
}
그리고 login_check.php의 15번째줄을
if (!$mb[mb_id]) {
alert("가입된 회원이 아니거나 패스워드가 틀립니다.\\n\\n패스워드는 대소문자를 구분합니다.");
} else { //id가 있는경우
if ( (sql_password($mb_password) != $mb[mb_password]) && (sql_old_password($mb_password) != $mb[mb_password]) ) {
alert("가입된 회원이 아니거나 패스워드가 틀립니다.\\n\\n패스워드는 대소문자를 구분합니다.");
}
}
로 바꾸어 줍니다. 더 간단하게도 쓸수 있지만 논리 에러를 내지 않으려고 일부러 길게 썼습니다.
그리고 register_form.php의 66-67번째 줄을
if (!($member[mb_password] == sql_password($_POST[mb_password]) && $_POST[mb_password]) && !($member[mb_password] == sql_old_password($_POST[mb_password]) && $_POST[mb_password]))
alert("패스워드가 틀립니다.");
로 바꾸어 줍니다. 회원 정보 수정시에 한번더 비밀번호를 체크하기에 여기도 넣어주어야 합니다.
출처 : http://sir.co.kr/bbs/board.php?bo_table=g4_tiptech&wr_id=1212
아래 내용.
*******************
common.lib.php에 아래 함수를 넣어줍니다.
function sql_old_password($value)
{
$row = sql_fetch(" select old_password('$value') as pass ");
return $row[pass];
}
그리고 login_check.php의 15번째줄을
if (!$mb[mb_id]) {
alert("가입된 회원이 아니거나 패스워드가 틀립니다.\\n\\n패스워드는 대소문자를 구분합니다.");
} else { //id가 있는경우
if ( (sql_password($mb_password) != $mb[mb_password]) && (sql_old_password($mb_password) != $mb[mb_password]) ) {
alert("가입된 회원이 아니거나 패스워드가 틀립니다.\\n\\n패스워드는 대소문자를 구분합니다.");
}
}
로 바꾸어 줍니다. 더 간단하게도 쓸수 있지만 논리 에러를 내지 않으려고 일부러 길게 썼습니다.
그리고 register_form.php의 66-67번째 줄을
if (!($member[mb_password] == sql_password($_POST[mb_password]) && $_POST[mb_password]) && !($member[mb_password] == sql_old_password($_POST[mb_password]) && $_POST[mb_password]))
alert("패스워드가 틀립니다.");
로 바꾸어 줍니다. 회원 정보 수정시에 한번더 비밀번호를 체크하기에 여기도 넣어주어야 합니다.
출처 : http://sir.co.kr/bbs/board.php?bo_table=g4_tiptech&wr_id=1212
위 내용을 배포판에 적용할 계획은 없습니다.
고생하셨습니다
항상 감사드립니다. ^^
감사합니다.. 잘 사용하겠습니다.
감사합니다.
감사합니다
패치완료~ (버전을 몰라서 ㅋㅋ 표시)
감사합니다.
저만 그런가요?
보안서버를 적용하면 "url에 타 도메인을 지정할 수 없습니다."라는 경고창이 한번 열리고 로그인이 됩니다.
보안서버 해제하면 경고창이 안뜨고요..회원제 상품구매에서 해제해야 구매가 됩니다.
보안서버를 적용하면 "url에 타 도메인을 지정할 수 없습니다."라는 경고창이 한번 열리고 로그인이 됩니다.
보안서버 해제하면 경고창이 안뜨고요..회원제 상품구매에서 해제해야 구매가 됩니다.
5.0.35 버전에서 포트 번호는 체크하지 않도록 함수가 변경됐습니다. 확인해 보세요.
감사합니다.
