타운광장토픽게시판

1.8.12 업데이트시 모듈에서의 문제 해결 쉽게 설명해주실 수 있나요?

웹지기
조회 수 170
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

모든 대상을 개발자로 취급해버리는 현 상황은 참 사용자로서 곤혹스러울때가 너무 많습니다. 보안패치로 인해 사용하는 자료의 수정이 필수로 필요한 상황에서도 이런상황이니....      개발을 하기 뭘 개발을 ... 

 

아래 내용을 개발자가 아닌 일반 사용자가 각 모듈들을 다 들쳐서 고쳐볼 수 있게 쉽게 설명을 해주시면 패치를 엄두를 내 보겠습니다.

 

 

 

이와 같은 변경으로 인해 개발하신 모듈에서 호환성 문제가 발생하는 경우 아래 참조와 같이 변경할 수 있습니다.
다만, 주의가 필요하며 특정 권한을 필요로 하거나 주요 데이터를 변경하는 등의 동작에는 신중하게 적용하시기 바랍니다.

아래 변경방법은 Controller로 선언하여 POST 요청만을 허용하는 act에 GET 요청이 동작할 수 있도록 허용할 수 있습니다.
method="GET|POST" 속성을 추가하여 GET과 POST 요청에 대해 동작하도록 허용합니다.

웹지기

profile
10년을 다루다 보니 이제 간단한 것도 만들고 커뮤니티 운영에 관한 다양한 노하우가 있습니다. 어려운 점이나 가지신 생각을 함께 소통해 보아요.
https://rxtip.kr/ 라이믹스 꿀팁
위로 아래로
댓글 28
  • profile

    1. 문제가 되는 모듈의 module.xml 파일을 엽니다.
    2. 문제가 되는 act가 쓰인 부분을 찾습니다.(ex. procFileOutput)
    3. method="GET|POST" 를 추가(ex. <action name="procFileOutput" type="controller" method="GET|POST" />)후 저장합니다.
    4. 만일 그대로 동작하지 않는다면 캐시파일을 재생성합니다.

    위 수정은 각 서드파티 자료 개발자들이 해야 하는 것으로 일반 사용자는 자료 배포자에게 수정요청을 하시면 됩니다. ... 라는 게 개발팀의 의도로 보입니다. 만약에 업데이트 이후 특정 자료가 안된다면 가능한 선 안에서 확인후 수정해 드릴 테니 질문/답변으로 올려주세요.

     

    P.S.)서드파티 자료가 아니라 코어쪽이라면 이슈로 등록하시면 됩니다.

  • profile profile
    모든자료가 개발자에게 요청을 할수 있는 상황이 아니란건 잘 아시지 않습니까 ? 판매자가 잠수탄 경우는 허다하구요.
    답변 감사합니다. 알림센터와 파일모듈에서 예시를 저는 이미 보았지만 공홈에서 좀더 친절하게 기술해 주셔야 하는게 아닌가 정말 아쉽습니다.

    모든 모듈의 module.xml 을 열러 저 패턴을 모두 말씀 하신 형태로 교체 한 후 패치했을 경우 문제가 될 만한 것은 없을 까요?
  • profile profile
    코어에 있는 <action name="procFileOutput" type="controller" />는 안 고쳐졌었요.
  • profile profile
    모든 모듈에 대해 적용시 패치가 의미 없어집니다.

    그리고, 알림센터같이 변칙적으로 사용한 모듈이 아닌 이상, 대부분의 모듈은 잘 작동해야 정상입니다.(일단은) 만일 위 수정대로 적용했음에도 작동하지 않는다면 다른 문제입니다.
  • profile profile
    판매하신 자료 중 고칠게 없는거죠?
  • profile profile
    모든 모듈에 적용을 하면 안된다니 저 같은 사람은 이해가 안가네요.
  • profile profile
    해당 변경사항이 누락되었네요. 수정은 된 상태입니다.
  • profile profile
    근데 아닙니다. 지금 파일을 받아확인해보니, 수정되지않았습니다.
  • profile profile
    아뇨. github에 수정이 되었지만 배포시 빠졌다는 의미입니다.
  • profile profile
    모든 모듈의 모든 act에 집어넣으면 안된다는 의미입니다.
  • profile profile
    네, 저는 예전에 다 고치걸로 기억합니다. 포인트 충전 모듈이요..

    사실 예전에 이 보안패치가 이루어졌는 데(그때 고쳤습니다).. 그 패치된 보안 기능이 잘 작동하지않아서 현재 보안취약점이 발생된 겁니다. 그때도 이런 안내 했었습니다만,

    아무도 모르는 것네요.. 나만 아나??
  • profile profile

    각 모듈에 따라 <action name="proc*****" type="controller" > 이런 형태라도 건드려야 하는게 있고 건드리면 안되는게 잇다는 말씀이신가요?

  • profile profile
    아.. 그럼 다운로드가 안되서 난리 나겠네요..;;
  • profile profile
    네. 모든 act에 추가하시면 1.8.11을 사용하시는 것과 동일합니다.
  • profile profile
    저 같은 사람은 패치 불가겠네요 ㅜㅡ
  • profile
    @날아라 님 배포해주신 자료 언급해 주시면 감사하겠습니다. ㅜㅡ 저도 다 열어볼 생각입니다. 내일 시간내서 다 고쳐보려고 합니다. @람보 님 도 부탁드려요 ㅜㅜ
  • profile ?
    확인해보겠습니다.
  • profile ?
    특별히 문제될만한 자료는 없는것 같습니다. 쭈욱 둘러봤는데 get요청 방식으로 개발된 자료는 없는듯...ㅎ
  • ? profile
    감사합니다.
  • ?
    제가 볼 때, 비개발자의 입장으로,

    GET 방식과 POST 방식이 있는데,

    GET 방식 일 때 ACT 제한하니, module.xml 을 통해 권한을 주라는 말은 알겠습니다.

    다만 비개발자의 입장으로

    이 GET 방식과 POST 방식이 XE 어떤 것을 요청할 때 주로 사용되는지를 좀 더 쉽게 설명해줬으면 더 좋지 않았을 까 싶습니다.

    예를 들어, 현재 통합검색 확장모듈의 경우 모듈 개발자님께서

    설정에 POST 와 GET 방식을 선택할 수 있도록 만들어주셨는데요.

    이걸 보고, URL의 값을 처리할 때 사용하는 것이다? 라고 대략 이해가 되긴하지만.
    따로 개발한 모듈에서 이렇게 URL처리하는 부분이 있으면 문제가 있는지 확인해보면 되겠다라고
    생각이 되어지긴 하네요..

    가령 따로 개발한 모듈들이 있으면 어떤 방식으로 이루어져 어떤 액션을 실행할 경우 문제가 될 수 있으니
    확인해보라는 안내가 되었으면 훨씬 좋았을텐데..

    저도 따로 개발한 모듈이랑 애드온이 조금 있어서 업데이트에 대한 거부감이 살짝들긴하네요..
  • ? profile
    disp로 시작하는 act는 GET/POST, proc로 시작하는 act는 POST만 가능합니다. 즉, proc로 시작하는 act 주소를 그냥 접속하면 실행되지 않습니다.

    원래부터 정해진 규칙입니다. 다만 지금까지는 까다롭게 검사하지 않았던 것이고요. 따라서 이 규칙을 따른 자료라면 잘 실행되어야 정상입니다.
  • profile ?
    아..

    그냥 간단히 확인방법은

    해당 모듈등의 URL만 봐도 어떤식으로 처리하는지 확인해서 고치면 되겠네요.
  • profile ?
    proc로 시직하는 act가 post만 가능한것은 오늘 처음알았네요... 아이고~_~
  • ?
    가입시 아이디/비번찾기나 이메일재전송 폼호출에 사용되는 act 도 수정되어야해요.
    dispMemberFindAccount 이런거요.
    맴버모듈엔가 있을겁니다.
  • ? profile
    코어에서 수정될 부분이 있는데 아직 안내가 없다는 이야기 인가요???? 이거 큰문제인데요...
  • profile ?
    넵, 제가 운영하는 홈피에 유저분들이 바로 피드백 해주셨어요.
    한번 확인해보세요. 아디/비번찾기 과정 진행해보셔요.
    이곳도 그렇고 XE홈피도 같은 문제점이 있네요.
  • ? profile
    그럼 중요한 문제인데 깃허브에 이슈로 올려주시면 안되나요. 모든 사이트에 적용이 되야 할텐데요...
  • ? profile
    https://github.com/xpressengine/xe-core/pull/1786

    다음부터는 꼭! 이슈로 올려 주세요. 여기에만 올리시면 대응이 늦어질 수 있습니다.