그누보드 불당팩 4.33.01 - 1.0.84

불당   
   조회 28943  

gbd_1.0.84.zip (8.5M), Down : 103, 2011-01
utf8_gbd_1.0.84.zip (8.6M), Down : 106, 2011-01

final에서는
adm/js/custom.js가 수정되엇습니다.
 
---
test5는 긴급패치 + 설치오류 수정입니다.
 
이전 버젼을 설치하신 경우에는...
cf_config 테이블의
cf_db_version 필드에 10xx xx는 불당팩의 끝자리 번호 (예: 1084)와 같이 해주세요.
 
install/sql_opencode.sql
install/install_db.php
 
lib/common.lib.php (코드 수정오류. 다시 올렸습니다)
 
---
test4는 긴급 그누보드 패치 입니다.
불당팩 버젼에 무관하게 아래 4 파일은 반드시 수정해야 합니다.
test3에서 skin/board/*/view_comment.skin.php를 누락해서 다시 올립니다.
 
다른 파일의 경우 관리자 패스워드를 한번 더 체크하게 하는 것인데,
세션을 훔쳤다면 관리자에서 패스워드 확인으로 한번 더 막는다고,
문제의 해결은 아닌거 같아서 잠시 유보햇습니다.
게시판 관리자에서 장난칠수도 있고 장난칠 곳은 엄청나거든요.
 
지금 논의가 진행중이니, 좋은 결과가 나올거라 봅니다.
 
lib/common.lib.php 
bbs/login_check.php 
adm/admin.lib.php (요고는 내용이 조금 다를 수 있으니 엎어쓰지 말고 비교해주세요)
skin/board/*/view_comment.skin.php (모든 게시판의 view_comment.skin.php 파일. 수정법은 코멘트에)
 
그리고, cheditor4의 버그도 하나 수정되었습니다.
 
cheditor4/cheditor.js
 
 
 
 
--- 
test2에서는 아래 2개의 프로그램이 업데이트 되었습니다.
오류가 있으면 알려주세요.
 
common.php
adm/boardgroup_form_update.php
 
----
이번 버젼에서는 아드리나님의 팁을 적용하고, 지난 버젼의 필터링 관련 기능 삭제도 db 반영 합니다.
이미 만들어진 db는 안지워도 되지만, 굳이 새로 만들 필요는 없으니까요.
db에 대한 부분이고, 굳이 급하지 않은거라 헷갈리지 않게 이번 버젼에 싹~ 반영했어요.
 
CREATE TABLE IF NOT EXISTS `g4_board_cheditor` (
  `bo_table` varchar(255) DEFAULT NULL,
  `wr_id` int(11) DEFAULT NULL,
  `bc_url` varchar(255) NOT NULL,
  `bc_dir` varchar(255) NOT NULL,
  `bc_source` varchar(255) NOT NULL,
  `bc_file` varchar(255) NOT NULL,
  `bc_filesize` int(11) NOT NULL,
  `bc_width` int(11) NOT NULL,
  `bc_height` smallint(6) NOT NULL,
  `bc_type` tinyint(4) NOT NULL,
  `bc_datetime` datetime NOT NULL DEFAULT '0000-00-00 00:00:00',
  KEY `bo_table` (`bo_table`,`wr_id`)
);
 
 
config.php
 
adm/boardgroup_form_update.php
adm/config_form_update.php
adm/upgrade_bd.php
adm/b4_upgrade/b4_upgrade_db.php
adm/js/custom.js
 
bbs/delete.php
bbs/delete_all.php
bbs/move_update.php
bbs/move2_update.php
bbs/write_update.php
 
cheditor4/cheditor.js
 
install/sql_opencode.sql
install/install_db.php 
 
 
 
- 관리자에서 마우스 드랙 안되는 오류
adm/js/custom.js
 
- 그누보드 업그레이드 - 4.33.01
lib/common.lib.php
 
- 설치오류 수정
install/sql_opencode.sql
install/install_db.php 
 
- cheditor hyerlink 오류 수정
cheditor4/cheditor.js
 
- 그누보드 버젼업 4.33.00 (11.01.06) 
lib/common.lib.php 
bbs/login_check.php 
adm/admin.lib.php 
 
- gr_id를 20자리로
adm/boardgroup_form_update.php
 
- 그누보드 4.32.15
common.php
$write 변수값을 초기화 해줍니다. 반드시 적용해야 하는 보안 패치에요.
 
- cheditor 파일관리 (아드리나님의 팁)
config.php
adm/upgrade_bd.php
bbs/delete.php
bbs/delete_all.php
bbs/move_update.php
bbs/move2_update.php
bbs/write_update.php
cheditor/imageUpload/upload.php 
- 필터링 팁 삭제후 db 정리
config.php
adm/config_form_update.php
adm/upgrade_bd.php
adm/b4_upgrade/b4_upgrade_db.php
install/sql_opencode.sql
- opencode.co.kr -
바다 2010-12
감사합니다.

오늘 업그레이드후 버그 잡아봐야겠네요.

휴가 언제가는줄은 잘 모르겟지만 날씨 추운데 잘 다녀오시고요.

내년에도 항상 건강한 가정과 행복한 날들이 되길 바랍니다.
인후지덕 2010-12
불당님! utf-8버전좀 올려주세요!!
     
불당 2011-01
어지간히 정리 되었다고 판단해서 utf8 버젼을 이번부터 올립니다 (설치 같은거는 깨어지겠지만...ㅠ.ㅠ...)
바다 2011-01
1.게시판 관리자페이지에(아래의 체크박스 기능이 없어졌네요. 체크하면 이동 복사됨 글 안나타나게.)
  1.0.82버전 때에는 있었던것 같은데요.

  관리자페이지의 기본환경설정 : "복사, 이동시 로그"의 체크박스를 해제하세요...

  [이 게시물은 방송실님에 의해 2010-05-07 20:01:03 주일오후에서 이동 됨]

2.관리자 페이지 입력폼 글 마우스로 아직도 드래그 안됩니다.

예를 들어 -> 게시판 제목(입력폼)에 [대한민국] 이란 글 제목이 있다면.
마우스로 대한민국이란 글자를 긁어서 복사도 안되고요.
또한 마우스 위치가 대한민국 이란 글자 끝부분에만 위치합니다.

대한민국 가운데에 마우스 위치를 시키려면 마우스로는 안되고 키보드 화살표로 커서를 움직여서 위치시켜야합니다.

파폭,ie8다 그러네요.

82 버전에서는 안그랬엇는데...
     
불당 2011-01
1.
http://opencode.co.kr/bbs/board.php?bo_table=gnu4_pack_qna&wr_id=2716

2.
헉~ 그러네요.
관리자 페이지를 바뀌면서 문제가 생긴거 같아요.
문제는 지금 아무리 째려봐도 답이 잘 안보인다는거... ㅠㅠ
바다 2011-01
불당님 sir에 관리자님께서 긴급 보안패치가 떳네요.
불당팩에도 얼른 적용해야겠어요.^^

http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=5540

허걱
복사시 이동로그는 게시판 관리자만 뚫어져라 쳐다ㅤㅂㅘㅅ다는...에고...
감사합니다..
기본 환경에 있을줄이야..

그나저나 관리자 페이지 어케 되야할텐데..

이전버전에선 ㅤㄱㅙㄶ찮았거든요..
파란색 관리자 페이지일때는...
     
불당 2011-01
이패치 며칠전부터 기다리고 있었습니다.
심각한 버그라서 바로 고쳐야 하거든요.
사람들의 feedback을 하루 정도 보고 적용할거에요.

http://www.boannews.com/media/view.asp?idx=24280&kind=1

관리자 페이지 이래저래 고민이 많이 되네요. ㅠ.ㅠ...
불당 2011-01
4.33.00 (11.01.06)
    :  [보안패치] XSS / CSRF
        FLASH 파일의 ACTION SCRIPT로 관리자의 세션값을 알아내고 공유하여 결국에는 관리자권한을 모두 갖게 되는
        치명적인 오류가 발견 되었습니다. (간단하게 말해서 플래시를 보는것만으로 세션값이 노출됩니다.)
        이것은 해커가 관리권한을 공유하는 것으로 관리자의 패스워드가 노출된것은 아닙니다.
        패치의 주된 내용은 게시판의 다른 회원이 올린 embed 태그는 관리자에게 보여지지 않게 하는 것입니다.
        또한, 세션키가 공개되더라도 관리자 페이지에서 직접 로그인한 관리자인지를 이중으로 체크합니다.
        기본환경설정, 관리권한설정, 회원관리, 포인트관리에는 관리자 패스워드를 다시 물어서 관리권한을 완전히 넘겨주지 않도록 하였습니다.
        이것과 관련된 자세한 내용은 보안뉴스의 내용을 참고하십시오.
        http://www.boannews.com/media/view.asp?idx=24280&kind=1
        (i2Sec 교육팀 강성호님께서 알려주신 내용입니다.)
불당 2011-01
test3에서 skin/board/*/view_comment.skin.php이 수정을 누락했습니다.

(swf)로 검색해서 해당 라인을 코멘트 처리하면 됩니다.

                // FLASH XSS 공격에 의해 주석 처리 - 110406
                //$str = preg_replace("/\[\<a\s.*href\=\"(http|https|ftp)\:\/\/([^[:space:]]+)\.(swf)\".*\<\/a\>\]/i", "<script>doc_write(flash_movie('$1://$2.$3'));</script>", $str);
바다 2011-01
lib/common.lib.php
1613 번째에서 오류 납니다. 새로 삽입한 보안패치 부분인것 같군요.
증상 : 싸이트 전반부가 안나옵니다.
오류코드 : Parse error: syntax error, unexpected ';' in /home/ezjob/www/lib/common.lib.php on line 1615

요거 주석처리하면 오류 안나오고 풀면 오류 나네요
$code = preg_replace_callback("#(\<(embed|object)[^\>]*)\>(\<\/(embed|object)\>)?#i",
                    //create_function('$matches', 'return "<div class=\"embedx\">보안문제로 인하여 관리자 아이디로는 embed 또는 object 태그를 볼 수 없습니다. 확인하시려면 관리권한이 없는 다른 아이디로 접속하세요.</div>";'),
     
불당 2011-01
헉... 내일 아침에 확인해 보겠습니다.
보안패치가 당분간 계속 나올거 같다는. ㅠ..ㅠ...
강나루 2011-01
cheditor 관련 패치에 파일삭제 코드가 빠진 것 같습니다.

즉, db에 파일 관련 정보만 update, delete 가 있고, 정작 파일정보를 이용한 파일삭제 코드는 빠져있는 것 같습니다.

1. '에디터'에서 파일 등록 할 때, 파일정보 기록하고, '에디터'에서 편집할 때 삭제한 파일도 삭제되도록 해야 하며, 이것은 파일정보에 기록된 것과 wr_content 에 기록된 img 소스 정보와 비교하여 파일정보에는 있으나, wr_content에는 없는 파일을 삭제하도록 하여 해결해야 할 것으로 생각됩니다.-write_update

2. '글삭제'에서는 파일정보를 이용한 정상적으로 저장된 파일 삭제 되어야 할 것으로 생각됩니다.-delete
불당 2011-01
1.
cheditor에서는 cheditor4/ImageUpload/upload.php, delete.php에 관련 코드가 있습니다.
하지만 이부분은 편집과정에서만 유효한데, cheditor에서 잘 관리하는거 같더라구요.

2.
다른 부분은 실제 파일 삭제가 빠진거 확인하고, 보완하려고 코딩 중입니다.
     
강나루 2011-01
cheditor의 upload.php, delete.php는 에디터 편집창에 이미지를 등록 시킬 때 유효하며, 일단 에디터 창에 등록 시키고, 에디터에서 편집할 때는 관여하지 않는 것 같음.

즉, 에디터에서 이미지를 넣으려면 '내pc사진넣기'를 클릭하여 '이미지'를 등록하는데 이 과정에서 upload.php, delete.php 가 작동하며, 편집창에 들어온 이미지를 클릭하면 나타나는 '삭제'에서는 작동하지 않음.

따라서, upload.php에서 올린 db의 파일정보와 실지로 에디터에서 글쓰기를 완료하여 들어간 img 태그가 일치하지 않음. 폴더에 아무데도 파일정보가 없는 쓰레기 파일이 남음.

이 문제는 write_update.php에서 cheditor의 upload.php 실행시 등록된 파일정보와 wr_content 에 들어간 img 태그를 비교하여 wr_content에는 없는 파일을 삭제해야 할 것으로 생각됩니다.
          
불당 2011-01
지금 코드를 첨부터 다시 보는데, 업로드에서부터 문제가 있네요. ㅠ.ㅠ...
               
강나루 2011-01
오타 있음
upload.php 의 cheditor5→4
                    
불당 2011-01
이미 수정했어요. ㅠ.ㅠ..


제목Page 1/11
     
2013-07   30068   불당
2011-08   37503   불당
2015-10   27331   불당
2015-05   102184   불당
2013-06   74803   불당
2014-06   73057   불당
2014-01   72336   불당
2016-05   67325   불당
2013-07   64579   불당
2016-07   62392   불당
2013-11   45802   불당
2013-01   40314   불당
2011-08   37503   불당
2008-04   35441   불당
2013-11   30971   불당
2008-09   30856   불당
2013-05   30394   불당
2013-07   30068   불당
2014-07   30049   불당
2011-01   28944   불당
2012-07   28700   불당
2015-10   28466   불당
2012-10   27763   불당