지난달에도 보안패치 예고 글을 올렸었는데요.
XE팀이 어떤 입장표명도 없이 다수의 보안취약점을 방치하고 있는 상황에서
또다시 큰 취약점이 발견되어 패치 예고 글을 한 번 더 쓰게 되었습니다.
만약 술이었다면 블랙라벨 하나쯤 붙을 만큼 오래 묵은(...) 취약점이라
XE 극초창기부터 최신 라이믹스까지 모든 버전이 영향권입니다.
게다가 굉장히 위험한 문제입니다. 흔해빠진(?) XSS나 비밀글 노출 수준이 아니라
사이트를 고스란히 삭제해 버릴 수도 있는 중대한 취약점입니다.
보안에 대한 고려 없이 마구잡이로 기능을 추가하던 시절이 있었지요...
다행히(?) "특정 기능"을 사용하는 사이트가 아니라면 영향이 없겠지만,
취약점의 특성상 문제의 기능을 그대로 유지하면서 방어하기가 무척 어렵습니다.
따라서 해당 기능을 아예 제거하거나 기본값 OFF로 두는 방향으로 패치를 준비중이며,
그 기능에 의존하던 사이트라면 갈아엎느냐, 취약점에 무방비 상태로 노출되느냐
둘 중 하나를 선택해야 할 것입니다.
어떤 기능이 문제인지 미리 알려드릴 수 없어서 저도 답답한데요,
일반적인 게시판+위젯페이지+서드파티 모듈과 애드온들만으로 구성된 사이트보다는
커스텀으로 많이 건드려 놓은 사이트일수록 대응하기 힘들 가능성이 더 높으니
어딘가 찔리는(?) 데가 있는 분이라면 점검 일정을 미리 잡아두시기를 추천합니다.
라이믹스 2.0은 수요일(3/16) 오전 중에 패치할 예정입니다.
구 버전 및 XE1을 패치하는 방법도 동시에 공개하겠지만, 이번이 마지막입니다.
앞으로 XE1 보안패치 방법은 "라이믹스로 업글"이라고만 하겠습니다.
[업데이트] https://xetown.com/topics/1665887
코어를 수정해서 쓰지는 않는데..... 어떤 건지 모르겠지만
부디 무탈 하게 넘어가길 바래 봅니다.
덧..XE팀이 어떤 입장표명도 없이 다수의 보안취약점을 방치하고 있는 상황에서
>> XE1 진짜...너무하네요. 아직도 멋 모르고 xe 쓰시는 분들 어떡하라고...
거창한 책임감 까지는 안 바래도 남이 만들어준거는 보안패치 정도는 적용 해줘야지.....
우리에게 고객은 없고 모두 유저만 있을뿐이다라고 말을하더니... 진짜 유저만 남겨놓고 도망 가네요.