질문/공유질답게시판

XE코어 보안패치 1.11.6 라이센스문구 변경 외 실제 동작에 영향주는 리스트

웹지기
Extra Form
PHP PHP 7.2
CMS XpressEngine

https://xe1.xpressengine.com/index.php?mid=download&package_id=18325662

 

보안패치가 있는데요.

라이센스 문구 변경(도메인주소포함) 이 대량으로 변경된 것을 보안패치와 함께 배포해서

굉장히 많은 파일을 교체해야 하는 상황으로 만들어 주었습니다.

 

이거 도대체 어떻게 실제 영향을 주는 파일만 목록을 확인하라는건지..

 

아래와 같이 git-archive 명령으로 커밋의 특정 구간을 지정하여 추출할 수 있습니다.

git archive -o changed.zip 1.11.6 $(git diff 1.11.5..c3355a7a5 --name-only) $(git diff 6c018e0e2..1.11.6 --name-only)

 

이런식으로 해서 뭘 할수 있다고 문의에 대해 언급이 되어 있지만 파일을 내려받어 ftp로 업로드하는 환경인 저로서는 뭔소린지...

 

 

 

목록을 확보하실 수 있는 분 계시면 목록 부탁드립니다.

 

제가 이슈 처리된 것으로 확인한 내역은

/README.md
addons/captcha/captcha.js
addons/captcha/captcha.min.js
classes/security/UploadFileFilter.class.php
modules/addon/addon.admin.model.php
modules/document/tpl/preview_page.html
modules/install/install.controller.php
modules/install/lang/lang.xml
modules/trash/tpl/trash_view.html

 

 

이정도 입니다.

 

보안패치 내역은 따로 제공되지 않아 찾을 길이 없습니다.

위로 아래로
댓글 10
  • profile
    https://xe1.xpressengine.com/devlog/23307939

    위 게시글의 댓글에 첨부로 실제 동작에 영향을 주는 파일만 압축했다고 하는 파일이 첨부되어 있는 듯 합니다. 그런데 가급적 사용하지 말라는건... 흠........
  • ?

    자료실에도 댓글을 남겨두긴했지만 해당 댓글의 "웹마스터"님이 본인이신거죠?

    해당 명령은 다른 분의 문의하셔서 changed 파일에 포함된 파일이 많으니 단순 저작권 표기만 변경한 파일을 제외할 수 있겠느냐는 문의에 대해 추가 답변을 드린겁니다.

    지금보니 자료실에 댓글을 추가로 달아주셨는데 계속해서 여기에 적자면
    - 저작권 표시 수정 부분만 먼저 선배포 하지 않았고 처음부터 모든 변경사항이 포함된 걸 배포했습니다
    - 나중에 따로 공지 댓글에 추가한 것은 해당 문의자에게 제공한 방법을 자료실 댓글에서는 파일을 첨부할 수 없고 다른 분들도 참고하시라고 공지 댓글로 남겼습니다
    - 지금까지 기능에 영향없는 파일만 골라내서 배포한 적이 없고 그런 요청을 받은 적도 전혀 없었습니다
    - 호의로 제공한 것에 대해 "저작권 표시 수정 부분만 먼저 선배포"했다고 사실이 아닌 일로 이야기하시니 뭐라고 해야 하나요.

     

    ps. 다시 자세히 읽어보니 저작권 표시 수정한 것만 따로 버전 올려서 배포했어야 했다는 말씀이신거죠? ... 정말로요...

  • ? profile

    네. 본인 맞구요. 저작권 변경 부분을 먼저 일괄 선배포 하고 그리고 이후 다른 변경 내용을 배포해주셨으면 저는 아주 좋았을 것 같습니다.

    사이트에 변경내용이 많아(XE코에서 반영되지 않은 PR들이 적용된게 너무 많습니다.) 라이센스 변경부분까지 함께 적용하기에는 너무 힘이 들어 그부분을 제외한 부분을 찾아 패치해야 하는 상황입니다.

    특수한 경우라 이야기 하면 할말이 없지만 저는 제가 말씀 드리는 배포 순서가 이상하거나 하지 않습니다.
    라이센스 변경은 아주 오래전에 커밋 되었죠.

  • ? profile
    사실이 아닌 이야기가 뭐죠?? 과거 이야기 한적 없고 대량의 라이센스 변경문구 문구가 보안패치에 함께 처리된 부분이 아쉽다는 것 만 적었지 제가 다른 사실과 다른 내용을 뭘 적었나요?
  • profile ?
    네. 그렇게 했었으면 더 편하시긴 했겠네요.
    저작권표기 변경 커밋은 그 직전에 이미 다른 커밋이 있었고 사용자분들에겐 별것도 아닌 저작권표기 변경을 따로 배포할 건덕지가 있는지에 대해선 정말 제가 미쳐 고려하지 못했네요.

    배포에 많은 실수가 있었듯이 배포 한 번 하는 게 저희에겐 굉장한 스트레스입니다. 이야기 하신 내용에는 공감할 수 있지만 양해도 부탁드립니다.

    "무슨 배포를 이런식으로 합니까"라는 말씀은 상황이나 심정을 고려해서 다시 생각해도 지나친 말씀이라는 생각이고, 저에게는 정말 정나미 떨어지는 상황입니다.

    자료실에도 다른분 문의하신 것에도 남겼지만 배포할 때 저작권 표기만 바꾼 파일은 빼고 배포할까 싶었지만 괜한 문제를 만들기 싫어서 그냥 전체 변경사항으로 changed 파일을 배포했고, 이에 대해 문의가 있어서 추가 답변을 드렸으나, 역시 처음에 우려한 괜한 문제가 발생할까봐 github에 있는 전체 변경사항을 이용하시라 했습니다.

    다시.. 말씀하신 상황에 대해 공감하나 배포는 굉장한 스트레스라서 좀 보수적으로 했다고 양해부탁드립니다. 그게 맘에 걸려서 문의 들어온김에 추가 방법을 제공해드린 것으로 마음을 조금이나마 편해졌는데 이런식으로 돌아오니.. 마음이 상당히 어지럽습니다.
  • ? profile
    네. 저도 그런 단어를 쓴건 사과 드리겠습니다. 역으로 배려가 없는 부분에 저도 화가 났고 제 능력으로 찾을 수 없는 파일 리스트를 찾아내야 한다는 스트레스로 그런 단어가 튀어 나왔습니다. 단어 선택의 부분은 제가 사과 드리겠습니다.

    다만 배포해 주시는 것으로 많은 유저들이 보안패치를 해야하고 합니다. 일의 순서에 따라 개인의 능력으로 충분히 할 수 있는 부분 그렇지 못하고 하지 못하는 상황 또는 어렵게 해 내야 하는 상황이 벌어지는 점도 참고해 주시면 좋겠습니다.
  • profile ?

    "사실이 아닌 내용"은 제가 웹지기님의 말씀을 오해한 부분이었던 것 같습니다.

    (수정하려 했으나 수정이 안 되네요)

    네. 말씀해주신 상황에 대해선 공감되는 만큼 좋은 선택지가 있었던 것 같습니다만 고려하지 못했습니다.
    곱씹으며 앞으로 참고하도록 하겠습니다. (인간은 같은 실수를 반복한다는 이야기가 있습니다만^^;)

    XE는 애증을 더해 갑니다.
    수 년의 세월 동안 사용자분들도 겪으셨 듯이 저희 또는 저도 많은 것을 겪어오면서 정말 많은 감정들이 뇌리에 박혀왔습니다.
    이런 감정은 정말 며칠을 힘들게하고 잊고 있다가도 자려고 눕다가도 생각이 나곤합니다.

  • profile
    XE팀입장에서도 웹지기님이 말씀하신 내용에 대한 근본적인 문제점을 알고 있었을 것입니다.

    다만, https://github.com/xpressengine/xe-core/commits/develop 커밋의 순서를 확인해보시면 아시겠지만 1.11.5 패치 이후 몇번의 수정된 내용이 존재 했으며 그 이후 저작권자를 수정했던 상황입니다.

    그래서 배포가 미뤄지다가 보안패치 및 몇가지 이슈를 함께 정리되어서 1.11.6 으로 같이 배포한 것으로 판단되요.

    이런 상황이라면 git을 이용하여 사용자들에게 제공하는 입장에서 이 전체 파일들을 제외한 변경 파일들을 제공하기에도 난감한 상황이라 원래 배포하시는 방법대로 체인지스에 라이선스 변경으로 인한 변경된 파일들도 함께 포함하신 것으로 보여집니다.

    저작권자 변경시점이 1.11.5 버전배포 이후 몇가지 수정이 들어간 상황에서 시작되었으며, 그 이후 보안 패치가 나와서 빠르게 배포해야하는 상황이 놓여져있는 상황이기 때문에 XE팀에서도 이 문제를 해결하기가 너무 까다로웠지 않을까 생각합니다.

    바쁘신 와중에도 신경써주시는 @BNU님 덕에 XE를 이용할 수 있는 것이니 감사하게 됩니다.
  • ?
    흐흐~ 제가 XE 패치 공지에 쓴 댓글 하나가 이렇게 흘러갔군요 ^^;;
    참.. 난감한 기분입니다~ ^^;; 두 분 다 화이팅입니다!!

    XE 팀도.. 계속 보안패치 해주셔서.. 항상 감사합니다.
    반년에 한번이라도 계속 보안패치만이라도 계속 해주시면 전 큰 불만 없습니다

    이번 패치는 조금 불편이 따르겠지만...
    @BNU 님이 말씀하신대로 git 으로 검색하거나,
    아니면 개인적으로는 winmerge 로 XE 1.11.5 와 XE 1.11.6 을 비교해서
    차이가 나는 파일들 하나씩 다 열어보고 판단해서 개별 정리를 할까 생각하고 있었네요.
    ( 저야 비용받고 하는 경우다보니.. 상황에 따른 노가다는 제가 감수하겠죠 ^^ )
  • ? profile
    아닙니다. 그 댓글이 영향을 준건 없습니다.