지난달에도 보안패치 예고 글을 올렸었는데요.

XE팀이 어떤 입장표명도 없이 다수의 보안취약점을 방치하고 있는 상황에서

또다시 큰 취약점이 발견되어 패치 예고 글을 한 번 더 쓰게 되었습니다.

 

만약 술이었다면 블랙라벨 하나쯤 붙을 만큼 오래 묵은(...) 취약점이라

XE 극초창기부터 최신 라이믹스까지 모든 버전이 영향권입니다.

게다가 굉장히 위험한 문제입니다. 흔해빠진(?) XSS나 비밀글 노출 수준이 아니라

사이트를 고스란히 삭제해 버릴 수도 있는 중대한 취약점입니다.

보안에 대한 고려 없이 마구잡이로 기능을 추가하던 시절이 있었지요...

 

다행히(?) "특정 기능"을 사용하는 사이트가 아니라면 영향이 없겠지만,

취약점의 특성상 문제의 기능을 그대로 유지하면서 방어하기가 무척 어렵습니다.

따라서 해당 기능을 아예 제거하거나 기본값 OFF로 두는 방향으로 패치를 준비중이며,

그 기능에 의존하던 사이트라면 갈아엎느냐, 취약점에 무방비 상태로 노출되느냐

둘 중 하나를 선택해야 할 것입니다.

 

어떤 기능이 문제인지 미리 알려드릴 수 없어서 저도 답답한데요,

일반적인 게시판+위젯페이지+서드파티 모듈과 애드온들만으로 구성된 사이트보다는

커스텀으로 많이 건드려 놓은 사이트일수록 대응하기 힘들 가능성이 더 높으니

어딘가 찔리는(?) 데가 있는 분이라면 점검 일정을 미리 잡아두시기를 추천합니다.

 

라이믹스 2.0은 수요일(3/16) 오전 중에 패치할 예정입니다.

구 버전 및 XE1을 패치하는 방법도 동시에 공개하겠지만, 이번이 마지막입니다.

앞으로 XE1 보안패치 방법은 "라이믹스로 업글"이라고만 하겠습니다.

 

[업데이트] https://xetown.com/topics/1665887

글쓴이 기진곰

profile
GitHub @kijin 사람을 위한 인터넷 생태계의 발전에 많은 관심을 갖고 있습니다.
우리가 만들어 가는 XE의 새 이름, 라이믹스(Rhymix) 프로젝트에 참여하고 있습니다.
오픈소스 도로명주소 검색서버 및 API Postcodify를 개발, 운영중입니다.
국내외 서버 및 클라우드서버 세팅, 이전, 튜닝해 드립니다.
  • ?
    덜덜덜.........무지하게 궁금하네요.
    코어를 수정해서 쓰지는 않는데..... 어떤 건지 모르겠지만
    부디 무탈 하게 넘어가길 바래 봅니다.

    덧..XE팀이 어떤 입장표명도 없이 다수의 보안취약점을 방치하고 있는 상황에서
    >> XE1 진짜...너무하네요. 아직도 멋 모르고 xe 쓰시는 분들 어떡하라고...
    거창한 책임감 까지는 안 바래도 남이 만들어준거는 보안패치 정도는 적용 해줘야지.....
    우리에게 고객은 없고 모두 유저만 있을뿐이다라고 말을하더니... 진짜 유저만 남겨놓고 도망 가네요.
  • profile
    늘 수고 많으시고, 감사합니다. ^^
  • profile
    보안패치 미리 고맙습니다
  • profile
    항상 감사드립니다
  • profile
    기다리고 있겠습니다. 감사합니다!!
  • profile

    패치할때 깃헙에서 바뀐파일만 받는방법 있나요?

    전체 zip 풀어서 부으려니 좀 부담인데요

     

    그리고 라이믹스 업데이트 새버전 올라올때 알림받는

    방법 있는지 궁금합니다.

  • profile profile

    공홈(rhymix.org)의 뉴스 섹션에서는 변경파일만 따로 모은 zip도 제공하고 있습니다. 코어 수정을 합리화하는 수단으로 악용될 수 있기 때문에 권장하지는 않지만, 아무튼 있기는 합니다.^^

    중요한 소식은 주로 XE타운에 올라오겠지요. rxtip 같은 사이트는 RSS를 가져가서 자동으로 사이드바에 표시해 주는 것 같은데, XE타운은 그런 게 안 보이네요. 코어 소식을 "서드파티 소식" 게시판에 올리기도 그렇고;;;

  • profile profile

    오픈톡방 있던데 그쪽에 중요공지는 공유하는게 어떨지요

     

    정보 감사합니다

  • profile profile
    라이믹스 개발팀이 공식 통로가 아닌 다른 곳에까지 공지할 의무는 없을것 같습니다.
  • profile profile

    쓰신 글중에 XE1 XE3 망한이유 평가글이 있으시던데
    의무만 따지다보면 같은길을 가는것 아닌가 합니다.

     

    라이믹스도 그누처럼 접근성을 높이는것이 좋지않겠습니까

     

    보안은 아무리 얘기해도 하는사람만 하지 안하던 사람들은 전혀 안합니다.

    그런 사람들도 사용자니 기회를 제공한다고 봐야죠

  • profile profile

    오픈카톡 채팅방이 공식으로 있다면 모를까, 공식으로 없는 상태에서 특정 채팅방에만 들어간다면 그거대로 문제입니다. 그렇다고 라이믹스 관련 모든 채팅방에 개발진이 공지할수는 없는것일테고요. 아무튼 저는 라이믹스 개발진이 아니고 그냥 의견을 드린것일뿐이니 더 댓글달지 않겠습니다.

     

    참고로 라이믹스도 버전업데이트가 있다면 대시보드에 표시됩니다. 하루한번 대시보드도 접속하지 않는 관리자라면 제대로 된 사이트 관리자라 할수 없을것 같네요.

  • profile profile

    전체 톡방 날리자고 제시한것이 아닙니다.

    사용자가 많은 톡방으로서 워드프레스 그누보드와

    비슷한 규모 혹은 의미가 있는 모임을 의미합니다.

     

    XETOWN이 공식 커뮤니티 하고
    톡방 하려면 하나 만들면 되겠네요.

    여기외에 활발하게 라이믹스 개발에 참여하는곳이 더 있나요?


     

  • profile profile

    그걸 저한테 말씀하셔도 저는 개발진이 아니므로 답변을 드릴수 없습니다. 위 댓글에도 분명히 했을텐데요. 저는 개인 의견을 말씀드린것일 뿐입니다;;;;

  • profile profile
    YJ님한테 머라고 하는게 아니라 의견있으신분 댓글 달아달라고 글 올리는겁니다.

    공개 게시판이잖아요?
  • profile profile
    아... 전 또 저한테 하시는걸로 오해했습니다.
    그럼요. 의견은 구할수 있죠. 하지만 불필요하게 알림이 가니 대댓글 말고 댓글로 해주시면 감사하겠습니다.
  • profile ?

    중요한 보안 업뎃이라 되도록 많은 사람들 보았으면 하는 마음에 개발진이 XE타운에 공식 통로가 아님에도 공지를 올렸습니다.

    댓글쓰신분은 최대한 많은 사람이 보았으면 하는 안타까운 마음에 하신 말씀신것 같은데 개발진은 아니시면서 개발진의 입장을 표명하는건 술은 마셨지만 음주운전은 하지 않았다 인가요?

     

    물론 개발진은 공식통로가 아닌곳에 공지를 띄울 의무가 없겠죠 근데 그걸 떠나서 좀더 따뜻한 마음으로 세상을 바라보심이 어떨까요.


    "의견제시를 원하지 않는 분에게 굳이 본인 의견을 밝히실 이유는 없습니다. 모든 분들이 충고를 듣기를 바라는건 아닌점 이해하셔야 합니다."

    https://xetown.com/topics/1654632#comment_1654700

  • ? profile

    서로 다른 경우입니다. 저는 이루어질수 없는 것을 요구하시고 계신것 같기에 의견 하나 드렸을 뿐입니다. 해당 댓글이 언제부터 타운 규정이 됐나요?

     

    +그리고 제 댓글 가져오시면서 조금이라도 다른 방향성을 가진 댓글마다 다실거라면 그만둬주세요. 불쾌합니다.

  • ? profile

    그 톡방의 대화 내용이 검색엔진에서 검색이 되나요? 아니라면, 아무리 오픈아니라 할애비라도 그들만의 리그에 불과한 톡방 같은곳은 상대 안했으면 하는 바램입니다. 😊 아쉬운 사람이 양지로 나오시는 것이 옳다고 생각하네요.

  • profile
    수요일 오전...
    준비하고 있겠습니다.
    미리 감사합니다.
  • profile profile
    급하게 찾아봤더니 "특정 기능"을 사용하고 있지 않아서 괜찮더라! 라는 허탈한 기분을 느끼실 수 있기를 기원합니다. 영향 없는 것이 최고죠~~
  • profile
    예고 감사합니다.
    준비해두겠습니다.
  • profile

    수요일에는 바쁜일이 안생기기를~~~

    감사합니다

  • profile
    잘 몰라서 질문합니다. 얼마전 보안 패치를 놓친 XE 1 버전 사이트들은 놓친 보안패치를 먼저하고 난 다음에 다시 이번 패치를 해야 하는지 아니면 새 보안 패치를 바로 해도 되는지요? XE 버전 업그레이드 때도 업그레이드 버전을 두어번 잊어버리고 새 버전으로 올라간 경험이 있어서 궁금합니다.
  • profile profile

    XE1은 정식으로 새 버전을 발표하는 것이 아니므로 더이상 이전 패치가 새 버전에 포함된다거나 하는 개념이 없습니다. 어느 파일의 어느 부분을 어떻게 수정하라고 팁을 드리는 것 뿐이니, 지난번에 제공한 팁도 적용하셔야 하고 이번에 제공할 팁도 별도로 적용하셔야 합니다. 서로 아무 관련이 없는 취약점이므로 순서는 관계없습니다.

  • profile profile
    https://xe1.xpressengine.com/forum/23331707
    비공식 보안패치 사용하시면 그동안 발표된 취약점 2개에 대한 패치가 모두 포함되어 있습니다.
    이후 라이믹스에 적용되는 보안패치중 XE에도 적용 가능한건 지속 적용할 예정입니다.
  • profile
    수고에 감사드립니다.
  • profile
    혹시 현시각 최신 develop 기준 모두 커밋을 따라잡았으면 문제가 없는걸까요 ㅠㅠ
    하필 말씀해주신 수요일 오전이 컴퓨터를 못쓰는 상황일수 있어서....

    항상 감사드립니다 ㅠㅠ
  • profile profile
    보안패치 관련된 커밋은 아직 공식 저장소에 올라오지 않았습니다.
  • profile profile
    아 수요일을 기다려야 하겠군요 ㅠㅠ 감사합니다~
  • profile profile
    보안패치는 패치하는 순간 취약점을 드러내는 것이기 때문에 항상 제일 마지막에 릴리즈할때 패치됩니다.

    이 점 참고하시기 바랍니다.
  • profile
    항상 감사드립니다
  • profile
    항상 수고가 많으십니다. 화이팅하시고 좋은 보안패치 예고 정보 감사합니다.
  • profile
    항상 감사드립니다~~
  • profile
    항상 감사드립니다!