타운광장토픽게시판

[XE1/RX1/RX2 공통] 중요한 보안패치입니다.

기진곰
조회 수 437
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

라이믹스 2.0 사용자를 위한 2.0.10 업데이트

라이믹스 1.9 사용자를 위한 1.9.10 업데이트가 동시 릴리즈되었습니다.

 

가장 중요한 수정사항은 알림센터 모듈입니다.

알림센터를 통해 다른 회원의 이메일 주소 등 개인정보를 엿볼 수 있는 보안취약점이 수정되었습니다.

커뮤니티 사이트, 특히 익명성을 중요하게 여기는 곳이라면 만사 제쳐두고 패치하셔야 합니다.

@비앤유 님이 제보해 주셨고, @람보 님이 패치를 작성하셨습니다.

 

2012년 이후 판매 또는 배포된 모든 버전의 XE용 알림센터(Pro 또는 Lite 버전)도 패치가 필요합니다.

라이믹스는 알림센터를 코어와 함께 배포하므로 알림센터의 버그는 곧 코어의 버그로 취급하나,

XE에서는 알림센터가 서드파티이므로 코어에서 신경쓰지 않는 점 유의하셔야 합니다.

XE를 사용하시는 분들도 버전 막론하고 알림센터 모듈이 설치되어 있다면

반드시 XE타운 포인트 자료실 또는 XE 공홈 자료실에 올라온 3.0.9 버전으로 업데이트하시거나,

라이믹스 릴리즈 노트를 참고하여 직접 패치하시기 바랍니다.

 

TAG •

기진곰

profile
GitHub @kijin 사람을 위한 인터넷 생태계의 발전에 많은 관심을 갖고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영중입니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
위로 아래로
댓글 27
  • profile
    고생하셧습니다!!
  • profile
    금방 2.0.9 업데이트하고 갑자기 2.0.10이 뜨길래 뭔가 했는데 보안패치였군요
    바로 적용했습니다. 고생하셨습니다.
  • profile
    비앤유님, 람보님, 기진곰님, 그 외 라이믹스를 위해 수고하시는 모든 분들 감사합니다. ^____^
  • profile
    고생하셨습니다
    (업데이트는 바로 폴더 서버에 붙여넣기 하면 되는건가요?)
  • profile profile
    FTP 업로드를 실수하시는 분이 가끔 보이긴 하지만
    네, 기본적으로는 그냥 동일한 위치에 다 덮어쓰시면 됩니다.
    추가로 설치하신 자료나 게시물 DB, 첨부파일 등은 경로가 달라서 덮어씌워지지 않습니다.
  • profile profile
    앗 제대로 적용했습니다.
    (이거는 저의 개인적인 의견입니다만ㅠ 그누보드처럼 업데이트 된 부분만 따로 올리는 것도 나쁘지 않을것 같습니다)
  • profile profile

    공식적으로 권장하지는 않지만, 공홈 "뉴스" 메뉴의 공지글에 changed 파일도 올라옵니다.

    직전 버전에서 급하게 업데이트하시는 경우 유용합니다.

  • profile profile
    그렇군요 감사합니다!
  • profile
    업데이트 완료
    수고하셨습니다!
  • profile

    스크린샷 2021-04-13 10.37.14.png

     

    감사 합니다. 지난번 업데이트에 sftp 프로그램을 forklift로 하면서 실수가 있어서 

    이번에는 사이버덕이라는 프로그램으로 업데이트를 실행 했습니다.

    적용은 잘 된것 같은데 위에 두 파일이 퍼미션 문제로 업로드가 안되었는데 

    혹시 크게 문제가 없는 것인지 확인차 댓글 남깁니다.

    보안 이슈의 빠른 대응 감사 드립니다. 

  • profile
    지금 자세히 경로를 보니 ssh파일은 라이믹스 업데이트랑 관계 없이 전에 설치에 실패한 깃서버 관련된 내용 같아 보이기도 하는데 맞나요.
  • profile profile
    그 파일은 저희가 배포하는것이 아닌 것 같습니다 라이믹스에는 id_rsa.pub 파일이 없습니다.
  • profile profile
    감사 합니다. ^^
  • profile
    수고하셨습니다.
    잘 적용하였습니다.
  • profile
    엌 xe 버전 알림센터 설치해버렸다
  • profile profile
    어허.... 테슬라에다가 아반떼 엔진오일을 넣으시면 어떡합니까... ㅋㅋㅋ
  • profile profile
    보안이슈라길래 일단 설치하고봐버렸네요 ㅋㅋㅋ
    일단 원래대로 수정하긴 했는데 다음부터는 더 자세히 봐야겠네요
  • profile
    고생하셨습니다!
    항상 업데이트 감사합니다~
  • ?
    아직 1.9 버전 유저인데 챙겨주셔서 고맙습니다.
  • ?
    감사합니다!!
  • profile

    이번 기회에 아예 최신버전으로 업데이트  고고!!

  • profile
    이번 패치 중 궁금한게 하나 있어 이 게시글에 댓글로 문의 드려 봅니다.

    https://github.com/rhymix/rhymix/commit/6780125174475021172f358e1d1d62496d0b1571

    위 패치와 관련하여
    라이믹스 2.0에서 사라진 문서정보의 extra_vars 값을 다시 살려주실 수 있는지 문의 드립니다.

    https://xetown.com/topics/1550999

    $document->get('extra_vars')
    $oDocument->get('extra_vars')

    로 값로 문서정보에서 바로 꺼내쓸 수 있었는데 라이믹스2 에서 안되서 문서목록이나 문서열람에서 쿼리를 통해 해당 정보를 가져오고 있습니다.
  • profile profile
    해당 패치는 지난번에 논의되었던 내용 중, 문서 업데이트시 기존에 저장해 두었던 extra_vars 컬럼이 N;으로 초기화되는 문제를 수정한 것입니다. 긴급 보안패치 릴리즈이므로 취약점을 비롯한 버그를 수정하는 데만 집중했고, 새로운 정보를 가져온다거나 하는 부분은 포함되지 않았습니다.

    불러오는 부분은 저장하는 부분과 별도의 이슈인 것 같으니 따로 이슈를 열어주시면 처리 방법을 찾아보겠습니다.
  • profile profile
    네. 관련 이슈는 등록 했습니다. 지난번에 살려보는 검토한다는 댓글에서 따로 이슈로 등록하지는 않았는데 오늘 이슈로 등록했습니다.
  • profile profile
    아... 제가 대단한 착각을 했네요.
    unserialize 를 안한상태에서 변수값을 뽑았습니다. ㅜㅡ
  • profile
    방문자수 0이지만 git pull
  • profile
    감사합니다