XE(제로보드) 사이트 운영중이신 분들 께서는 보안패치 하셔야 합니다.
2012.03.10 02:03
XE로 사이트 운영중이신 분들께서는 반드시 보안패치 하셔야 합니다.
XE Core 1.5 버전 사용자에게 해당됩니다.
3월 8일자로 'SQL인젝션' 취약점이 발견되었습니다.
게다가 '회원가입' 기능에서 발견된 문제인 만큼, 사이트에 방문하는 모든 사람이 취약점을 이용한 공격을 할 수 있습니다.
http://www.xpressengine.com/blog/textyle/20597636
지금까지 XE의 대부분 보안 취약점은 i) 관리자 대상의 ii) XSS 취약점이었기에, 심각한 보안 취약점이라 보기는 어려웠으나
이번 SQL인젝션 취약점은 '매우 심각한' 수준입니다.
i) 모든 사람이 접근가능한 '회원가입' 기능에서의 취약점
ii) DB 전체가 털릴 수 있는 SQL 인젝션 취약점
위와 같은 이유로, 이번 취약점은 보안등급 5등급 중 5등급으로 분류할 수 있습니다.
XE Core 1.5로 사이트 운영중이신 분들께는 반드시 보안패치를 진행해 주셔야 합니다.
며칠 미루시다가 사이트 DB가 전체 털려버리는 상황이 생길 수 있습니다.
코멘트 5
-
piloteer
03.10 02:50
...xe에 가입할 때 한줄 자기소개란같은데에 장난삼아 '); drop table accounts; -- 같은 글을 적어서 넣곤 해서 식겁했습니다.
설마 저런게 먹힐 리는 없을테니까 그냥 보고 웃으라고 하는건데...뭐 실제로도 저렇게 쉬운 약점은 없겠지만 괜히 겁나네요. -
시큰둥
03.10 03:03
왜 그런 장난을....ㅎㄷㄷ...
-
piloteer
03.10 03:26
친분이 있어서 서로 장난치거나 하는 경우 장난의 일부로 스크립트키디인마냥 행동을 한 적이 있습니다. 재미있으니까요. 물론 실제 문제는 안 일으킨다는 전제하입니다만... 진짜 문제가 생길 수가 있다면-_-... -
인포넷
03.10 11:53
XE 문제가 많네요...
덕분에 보안 패치 했습니다. +_+