타운광장토픽게시판

2015.10.15 22:15:46

XE 1.8.11 CSRF 보안취약점 패치후 일부기능이 작동되지않는 문제 해결법 (4)

조회 수 1306

크게 작게 댓글로 가기

크게 작게 위로 아래로 댓글로 가기

https://xetown.com/lakepark/25386

XE 1.8.11 CSRF 보안취약점 패치이후 일부기능이 작동하지않을 수 있습니다. 이 부분은 간단한 수정으로 해결할 수 있습니다.

알림센터 알림클릭시, 첨부파일 다운로드시에 "잘못된 요청" 이라고 뜨는 것이 보안제한 때문입니다.

해결방법은 다음과 같습니다.

1. 알림센터 (2.1.5 버전에서 해결됨)

/modules/ncenterlite/conf/module.xml 파일 18줄

<action name="procNcenterliteRedirect" type="controller" method="GET|POST" />

녹색부분을 추가해주세요.

2. 첨부파일 다운로드 (XE 1.8.12 버전에서 해결됨)

/modules/file/conf/module.xml 파일 18줄

<action name="procFileOutput" type="controller" method="GET|POST" />

녹색부분을 추가해주세요.

3. 회원 비밀번호 찾기 부분 (XE 1.8.13 버전에서 해결됨)

/modules/member/conf/module.xml 파일

65줄 <action name="procMemberFindAccount" type="controller" method="GET|POST" .... />

66줄 <action name="procMemberFindAccountByQuestion" type="controller" method="GET|POST" .... />

녹색부분을 추가해주세요.

4. 쪽지삭제 부분

/modules/communication/conf/module.xml 파일

19줄 <action name="procCommunicationDeleteMessages" type="controller" standalone="true" method="GET|POST" .... />

녹색부분을 추가해주세요.

위로 아래로

skyo

2015.10.15 22:18:05
#comment_25561

T.T bbbbbbb!

웹지기

2015.10.15 22:20:08
#comment_25576

다른 모듈은 영향이 없는건가요? 예를 들면 안드로이드앱 관련 모듈인 mobileplus 와 같은 모듈이요.

conory

2015.10.15 22:23:20
#comment_25585

XE 규칙을 지켜 만들었다면 문제가 없을 겁니다.

설사 영향이 있더라도 이 취약점은 엄청난 구멍이라서 반드시(무조건) 패치해야 됩니다.

GG

2015.10.15 22:23:43
#comment_25588

영향이 있을수 있지요...

람보

2015.10.15 22:39:29
#comment_25611

아마도 해당모듈 오류잇을지도요.

기진곰

2015.10.15 22:26:27
#comment_25598

음... 그 밖에도 여러 모듈에서 비슷한 문제가 발생할 것 같네요.
지금까지 너무 느슨하게 사용해 와서... ㅠㅠ

람보

2015.10.15 22:34:31
#comment_25607

XE에서 골머리 앓겟는데요? 타 서드파티 모듈때문에요..ㅋㅋ

하늘희

2015.10.16 02:18:57
#comment_25912

추./.추천!

wberry

2015.10.16 13:56:33
#comment_26903

적용했습니다 고맙습니다.. 헉헉!!

제갈량

2015.10.17 09:41:21
#comment_28200

잘 작용하였습니다. 첨부파일은 XE에서 포함해서 업데이트 하였고, 알림센터는 자가 수정하였습니다!^^ 감사합니다!

dongdong

2015.10.19 19:48:00
#comment_32202

감사합니다. CONORY 같은 분들이 계서서 운영하는 입장에서 큰 도움이 됩니다. 어떻게 해야되나 하는 걱정들을 이렇게 빨리 해결해 주시니 조금만 문제가 있어도 찾게 되네요^^

불금

2015.10.20 22:21:21
#comment_34035

CONORY님
3의 67줄의 procMemberAuthAccount는 이미 method="GET|POST" 가 기재되어 있는 거 같습니다.

https://github.com/xpressengine/xe-core/blob/master/modules/member/conf/module.xml#L67

이성민

2015.10.23 23:46:36
#comment_40100

전 1.8.13 업데이트하고 이상없네요 ㅎㅎㅎ

흑여울

2015.10.27 14:32:47
#comment_44835

콘텐츠판 첨부파일 다운 관려해서 계속 오류가 뜹니다.
수정을 했는데도 계속 권한이 없다고 뜨는데 왜그런걸까요 ㅠㅠ..
코어 버젼은 1.8.13입니다.

sunup

2015.10.27 14:37:57
#comment_44859

으아 보안 패치라 꼭 해야 되는데 ㅠ 뭐 할때 마다 조마조마하니..

secret

2015.10.29 23:58:02
#comment_50178

좋은 팁 감사합니다. 근데 쪽지함에 들어가서 쪽지를 선택해서 아래의 삭제 버튼을 클릭하면
또 "잘못된 요청입니다"라고 나옵니다. 혹시 이부분도 해결방법을 알려주실 수 있으신가요?

conory

2015.10.30 10:14:36
#comment_50700

추가하였습니다.

secret

2015.10.30 13:59:47
#comment_51046

감사합니다 ^__^

웹지기

2015.10.30 10:13:32
#comment_50689

쪽지... ㅋㅋ 이거 여기저기 튀어나오는군요 ㅋㅋ

conory

2015.10.30 10:18:08
#comment_50711

아이쿠..!! 코어자체에서 잘못사용된 부분이 많을 줄이야...ㅠ

웹지기

2015.10.30 10:20:34
#comment_50727

그럼 저 메시제 잘못 요청한게 아니구! 코어가 잘못했네요!

conory

2015.10.30 10:26:53
#comment_50750

그렇죠.. 실제로는 다른 모듈의 호환성 문제보다 코어문제가 더 많은 이상한 상황되버렸죠..;;
이럴때에 개발팀 전부 XE3에 정신팔려있으니;;

Sydney

2015.10.31 18:46:34
#comment_54978

저도 추가 하였습니다. 감사합니다!

불금

2015.10.31 21:01:08
#comment_55283

이번엔 쪽지삭제...

구미호

2018.08.23 15:41:41
#comment_1046130

쪽지 삭제 문제가 있어서 보니 이런게 있군요
전부다 추가되어 있는데 쪽지만 추가가 안되여 있네요 ㅠㅠ

로그인 후 참여할 수 있습니다.