GR Board 2 Download

[보드] GR Board v1.8.6.3 [R2 - Security Fix Again!] stable (UTF-8)

시리니
  • homepage
  • 2010.06.02 07:06:50
  • hit: 14599
  • good: 136
정말 오래간만에 GR Board 업데이트 입니다!

며칠 전에 해외에서 공개된 Local File Inclusion 보안 취약점 및
화이트보드를 통해서 제안 혹은 개선 요청 받은 부분들이 일부 반영된
GR Board v1.8.6.3 을 여기에 공개합니다!

변경된 사항은 아래와 같습니다.

/page.php 파일의 Local File Inclusion 보안 문제 수정
이메일 중복 가입 방지
닉네임 중복 가입 방지
mod_rewrite 버그 수정
글 삭제시 (delete.php) total_comment 갱신하는 코드 추가
자동폭파시 (view.php) total_article, total_comment 갱신하는 코드 추가
글관리 버그 (이동,삭제,복사) list_adjust.php (글관리)에서 time_bomb(자동폭파)에 대한 업데이트 추가
글 수정시 이름,이메일,홈페이지 수정 되게 하기
회원가입시 아이콘,네임택,회원사진이 중복되지 않도록 회원번호 추가
회원정보 수정시 아이콘 파일 이름 중복 방지를 위해 회원번호 추가
회원정보 수정시 홈페이지 형식에서 http://가 없으면 자동으로 삽입
비밀번호 찾기시 주민등록번호 의존성 없이도 할 수 있도록 수정
회원 비밀번호 변경후 기존 글 수정시 비밀번호 틀렸다고 나오던 버그 수정





(■ DB 업데이트는 없습니다...만, 혹시 문제가 생기시면 DB 업데이트를 한 번 해보세요~!)

버그를 알려주시고 개선 방안에 대해 제안해 주신 열혈 GR Board 사용자/개발자 여러분들께
다시 한 번 감사의 말씀을 드리며, 아울러 모든 내용들이 반영되지 않았다는 점 죄송하게 생각 합니다.
계속 더 좋은 GR Board 가 되도록 개선해 나가도록 하겠습니다!


※ 화이트보드에 GR Board v1.8.6.4 버젼에서의 개선 제안을 공지를 통해 받도록 하겠습니다.
공지글의 댓글로 한 번에 개선 요청들을 확인할 수 있어서 작업이 훨씬 편했습니다. ^^ 귀찮음을 무릎쓰고
하나씩 적어주신 분들께 감사드립니다!


※ GR시리즈의 SVN 호스팅이 Google 에서 Naver 로 변경되었습니다. 새로운 SVN 호스팅 주소는
아래와 같으며, Google code 는 이전 자료들의 보존용으로만 남겨둡니다.

http://dev.naver.com/projects/grseries (네이버 개발자 센터 : GR Series)

GR시리즈의 코드를 직접 개선해 보고자 하시는 분들이나, 이전 Google SVN 호스팅 때 커밋 권한을
가지고 계셨던 분들은 NAVER 아이디를 알려주시면 권한을 드릴 수 있도록 하겠습니다!
보다 더 많은 분들이 참여 하실 수 있도록 코드 정비나 환경 개선에 더욱 노력하겠습니다!



더 나은 웹을 위해 계속 노력하겠습니다!

감사합니다!


● GR Board v1.8.6.3 R2 업데이트 안내 (2010.06.03 PM 10:10)

    - 한국인터넷진흥원 코드분석팀으로부터 전달 받은 보안 취약점 2종에 대해 수정 반영
    - v1.8.6.3 에서 누락되었던 패치 재반영
    - 게시판에서 로그인 / 로그아웃 시 이전 페이지가 있다면 해당 경로로 이동하도록 동작 변경

※ 기존 사용자분들은 반드시 v1.8.6.3 R2 버젼으로 전체 업데이트를 해주시기 바랍니다!
   SVN 을 활용 하실 수 있으신 분들은 새로이 checkout 해 주시거나, 혹은 update 를 실행해 주세요!

※ 보안 취약점을 정리해서 알려 주신 한국인터넷진흥원(KISA) 코드분석팀 담당 연구원님께 감사드립니다!


● GR Board v1.8.6.3 R2 Again 업데이트 안내 (2010.06.04 PM 7:50)

    - 서버 PHP 설정이 register_globals = On 으로 되어 있는 곳 (GR Board 에서 보안 경고 표시해 줍니다.) 에서
      /latest/sirini_gallery2_play/list.php 파일에 $path 변수가 GET 으로 값이 덮어 씌워져 원격 파일 실행
      보안 취약점이 생기는 현상에 대하여 아래와 같이 수정하였습니다.
      :: R2 Again 에서 해당 최근 게시물을 제거 후 배포
      :: 2번째 파일 (sirini_gallery2_play.zip) 에서 해당 최근게시물 사용자를 위한 레거시 파일 제공 (패치됨)
      :: 해당 최근 게시물 내에 "삭제 대상" 으로 명기함

      해당 취약점은 서버 설정이 register_globals = Off 로 되어 있는 곳에서는 영향이 없으며, 대부분의 웹호스팅 업체에서
      서버 설정을 Off 로 두고 있으므로 일반 사용자 분들은 위험에 노출되어 있지 않습니다.
      그러나, 서버 환경의 변화에 따라 취약점이 발생할 여지가 있으므로 GR Board 사용자분들은 가급적이면
      패치를 해 주시거나, 혹은 /latest/sirini_gallery2_play 최근게시물 스킨을 서버에서 삭제 처리해 주시면 안전하겠습니다.

      패치 때 좀 더 다양한 환경을 상정하고 공을 들여서 검증 절차를 거칠 수 있도록 더욱 노력하겠습니다!
      아울러 지속적으로 코드 검증을 해 주시는 KISA 의 코드분석팀 연구원님들께 감사드립니다!
GR보드,stable
좋아 2010.06.02 11:19:25 reply
받아쓰는 입장에서 항상 감사하고 있습니다.
Hidden site 2010.06.03 00:19:54 reply
Secret comment.
Hidden site 2010.06.03 22:23:48 reply
Secret comment.
시리니 site 2010.06.04 20:10:28 reply
변경 내역은 본문 하단을 참조하시면 됩니다~!
해피지기 site 2010.06.08 16:18:59 reply
항상 쓰기만 하네여.. 감사합니다. 수고하세요~~^^
Hidden site 2010.06.08 19:13:42 reply
Secret comment.
Hidden site 2010.06.09 03:01:04 reply
Secret comment.
이 곳에 이름(닉네임)을 입력하세요
이 곳에 글 수정/삭제를 위한 비밀번호를 입력하세요
이 곳에 이메일 주소를 입력하세요 (선택)
이 곳에 웹사이트 주소를 입력하세요 (선택)