지난 13년간 나온 XE 모든 버전과 라이믹스 1.x, 2.x를 패치해야 합니다.

 

자세한 내용은 라이믹스 2.0.18 릴리즈 노트를 참고하세요.

https://rhymix.org/news/277

 

다국어 기능과 관련된 보안취약점이지만, 다국어 기능을 사용하지 않는 사이트라도 XE나 라이믹스 구 버전이라면 이 취약점을 악용할 수 있는 우회로가 있으므로 반드시 패치해야 합니다. 황당할 정도로 단순한 취약점이라, 패치가 조금만 늦었다가는 해커들이 여러 사이트를 돌아다니며 묻지마 XSS, CSRF를 시전할지도 모릅니다.

 

다행히 패치 방법은 무척 쉽습니다. 코드 몇 줄을 잘라서 조금 윗부분으로 옮기면 되고, 다른 기능에 영향을 주는 것도 전혀 없을 것으로 예상됩니다.

 

글쓴이 기진곰

profile
GitHub @kijin 사람을 위한 인터넷 생태계의 발전에 많은 관심을 갖고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영중입니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
  • profile
    글 올라온 거 보자마자 패치 완료했습니다 :) 감사합니다!
  • ?
    감사합니다!
  • ?
    감사합니다~
  • profile
    저도 올라온거보자마자 바로 패치했습니다
    감사합니다!
  • profile
    고생많으셨습니다 짱짱맨!!
  • profile
    감사합니다!
  • profile
    우선 보안패치 관련 파일 1개만 교체 완료!
    나머지 업데이트는 시간 내서 따로 할 예정입니다.
  • profile

    XE1 사용하시는분(타운에 그런분은 안계시리라 봅니다만)은 https://xe1.xpressengine.com/forum/23331707 이 링크 참고하셔서 1.11.6-sec/20220209 버전 적용하시면 됩니다.

     

    해당 페이지에도 적혀 있습니다만 포크 버전인 Rhymix에서 발생한 취약점 중 XE에서도 해당하는 것들은 패치가 이루어질 가능성이 있으나, XE에만 존재하는 취약점은 빠르게 패치되지 못할 가능성이 큽니다. 특히나 라이믹스는 XE1시절 코드 대다수를 수정해가고 있으므로 앞으로는 뼈대만 같을 뿐 세부 코드는 완전히 다른 CMS가 될 수도 있습니다. 관련하여 경각심을 위해 위 버전에는 관리자 대시보드에 숨길수 없는 지원중단 경고문이 추가됩니다.

  • profile profile
    오오! 좋습니다. 아예 1.11.7로 밀고 나가서 공식 개발팀을 무색하게 만들어 버리셔도 됩니다.
    포크는 항상 (누군가의 등에 꽂기 위한?!) 나이프와 함께 사용하는 법이지요.^^
  • profile profile
    좋은 방법이긴 한데 lang 최하단에 admin_xe_discontinued 만 삭제하면 지원중단 경고문이 안뜰것 같네요.
    사실상 누구나 마음만 먹으면 지워버리는건 일도 아니니,,,
  • profile profile

    어떤 방법을 쓰건 지울수는 있죠. 다만 그정도까지 가능하신 분이라면 애초에 XE를 사용하고 있지 않을겁니다. 한참전에 라이믹스 적용하셨겠죠. 저 경고문은 단순히 파일 덮어씌우기 정도만 가능하신 분들이 지원중단 사실을 놓치지 않게 하기 위함이 큽니다.

  • profile profile
    사용하고 있더라도 이번처럼 간단한 패치는 금방 적용할 수 있는 분이겠지요. ㅎㅎ
  • profile profile

    1.11.6-sec/20220209 버전 정보 감사 합니다.
    써볼 생각인데 PHP 버젼은 어느 것을 써야 하는 가요?
    ===
    오늘 XEtown에 오랫만에 찾아 와 두리번 거리다 님의 댓글을 보고 답을 찾은 듯 느낌이 드네요. 다시 한번 더 감사!
    아래 글은 XETOWN.com 에서 정회원 등업을 하라고 해서 인사게시판에 올린 제 글입니다.
    ===
    그동은 수십년을 XE로 여러 웹을 운영해 왔습네다.

    2달전에 80세를 넘긴 노인장이라 콤푸터 프로그램 코드는 거의 문외한이지만 XE 덕분에 여기 까지 왔습니다. XEtown.com 에 다시 로그인 하여 들어 오는 데 거의 2틀 걸렸네요.

     

    인증메일을 받긴 받았는데 글세 하루 종일 임시비번을 찾지 못했기에 그리 소일 했네요.

     

    오늘 마침내 임시비번을 받아 여기 까지 왔습니다.
    XE1 버젼 1.11.6 를 쓰고 있는 데 호스팅서버 (www.inmotionhosting.com)에서 PHP 버젼을 7으로 바꿨기 때문에 웹이 작동 않던 것을 그곳에서 저의 웹에만 PHP 버젼을  5.6로 바꾸니 웹이 작동 되더군요.  

     

    그리고 요새 계속 구글에서 안보증이 없다고 위험한 웹이라고 Not Secure 웹이람ㄴ 공지가 URL 앞에 뜨던것을 가까스로 호스팅 기술자에게 부탁하여 https:// 가 뜨게하긴 했는데....

     

    다른 웹마스터들은 이런 문제가 없었는지 있었다면 여하히 해결하고 있는 지 알아 보려고 오랫만에 찾아 왔습니다.
    xe1.xpressengine.com 에서는 별로 활동이 없는 것 같이 보이기에...

     

    아래 웹의 웹마스터 ...

    ***

    ***

    ***

    ***

    그리고 유튜버  ***

  • profile profile

    그냥 전체버전 받으신뒤 덮어씌우시면 됩니다. 1.11.6 버전과 요구 사양이 완전히 같습니다.

    p.s.) 최근 규정이 바뀌었습니다. 게시판 상단에 "홍보 가능"이라고 된 게시판 제외 본인이 운영하시는 사이트 링크하실수 없게 바뀌었습니다. 수정 부탁드립니다.

  • profile profile

    1.11.6-sec/20220209 버전을 www.youshineblog.com 이란 subdomain 웹을 하단 디렉토리에서만 (public_html/youshineblob.com 에서만) 설치해 보았는데 admin 으로 회원 명단을 지우는데 페이지가 제대로 삭제 되었는데도 그대로 안된 듯이 남아 있고 admin으로 로그인 했는데도 로그인은 되었는데도 되었다는 페이지가 뜨지 않는 등 그런 불편이 있어 다시 1.11.6로 복귀했네요.

    그랬는데 main domain 인 최 상위 도메인인 www.kb34.net (public-html 디렉토리에 설치된 웹)에는 그버젼을 설치한 적도 없는데도 같은 현상이 일어 나기에 1.11.6를 다시 설치하여도 그 1.11.6-sec/20220209 이 최상위 도메인이 있는 디렉토리 부분의 어떤 파일을 건드렸는 지 그 버젼을 설치해본 디렉토리 (public_html/youshineblog.com ) 에서 설치후 보였던 그런 현상이 일어 나고 있네요.

    www.kb34.net 에는 그 1.11.6-sec/20220209 버전을 설치한 적이 없는 데도 (그리고 1.11.6 버젼을 다시 Extract 했는데도) 새 글을 올리고 등록을 해도 등록 되었다는 다음 페이지가 뜨지 않아 등록버튼을 다시 누루다 보면 같은 페이지가 여러번 등록된 결과가 나타납니다.

    해서 괜히 새 버젼을 시도했구나 하는 후회감이 저를 괴롭히네요. 문제의 업그레이드가 하단 디렉토리만 건들인게 아니라 최상위 디렉토리의 무슨 파일을 건드린 거 같은데 혹시 이글을 읽는 웹마스터 중에 무슨 짐작이 가는 떠오르는 분이 있다면 생각나는 의견을 나우어 주면 감사하겠습니다.

    제 생각에 문제는 아주 간단히 로그인 하고난 페이지에서 다음 페이지로 넘어 가게 하는 코드가 작동되지 않는 게 아닌가 하는 생각이 드는데 ... 그런 일을 하는 코드가 어느 파일에 있는 것인지 그 파일에 가서 코드를 제대로 작동하게 하면 될 문제가 아닌가 생각듭니다.

    +======
    며칠전에 백업해 두었던 했던 파일들을 다시 업로드했더니 웹이 제대로 작동하는 것 같이보입니다.

    아래 첨부파일을 1.11.6 sec-20220209 보안 버전으로 업그레이드 했을 때 뜨던 오류 메시지입니다.
     

    error_Msg.jpg

  • profile

    웹사이트관리 실시간으로 못해주는 분들 많을텐데, 헐~~~ 몇달뒤 가보면 사이트 폭파되었겠네요.

     

    저는 오늘은 일이 많아서 우선 저것만 잘라 붙였습니다.  (추가) 업글 다 했습니다.

  • profile profile
    XE 개발팀이 무책임하니 사용자들만 고통받습니다. "지원 중단" 네글자 쓰는게 그렇게 힘든건지 아무것도 안하고 방치하고 있으니 말이죠.
  • profile profile

    지원중단해서, 지원중단이라는 글자쓰는 것 마저도 지원중단한 것이 아닐까요? ㅎ

  • profile
    익명게시판 관리자 닉네임 표시 좋네요
    호우~
  • profile
    감사합니다~~ 패치 완료 했습니다~
    수고해 주시는 분들께 감사 드립니다~
  • profile
    감사합니다!
  • profile
    감사합니다. 패치 완료했습니다.
  • ?
    패치완료. 감사합니다!
  • profile
    수고 많으셨습니다 감사합니다
  • profile
    확인해보니 패치 이후에 나온 버전인 것 같은데 그렇다면 신경 안써도 되는거겠죠?