XpressEngine Core 1.7.6을 배포합니다.

보안 취약점 해결과 버그 및 개선 사항을 처리했습니다.

보안 문제 해결을 위해 업데이트를 권고합니다.

Core 업데이트 주의 사항

실 사이트에 적용하시기 전에 실 사이트와 유사한 환경을 갖추고 이상이 없는지 확인하시길 권고합니다.
업데이트 전 관리자 로그인 상태로 관리페이지를 열어두시고 진행하시길 권고합니다.
업데이트 후 대시보드에서 각 모듈의 DB 생성 및 업데이트 버튼을 누르세요.
업데이트 순서는 'menu > module > 기타 모듈'순서로 해 주시기 바랍니다.
업데이트 후 관리페이지 우측 하단의 캐시파일 재생성으로 cache를 갱신하셔야 합니다.
1.4 및 1.5 버전에서 업데이트하는 경우 데이터 양에 따라 시간이 많이 소요될 수 있으며 서버 환경에 따라 업데이트에 실패할 수 있습니다.
다음 문서를 참고하여 데이터 백업 후 진행하시길 권고합니다.
http://www.xpressengine.com/22674246
변경된 파일만 다운로드

https://github.com/xpressengine/xe-core/releases/tag/1.7.6
페이지 하단의 파일명에 'changed'가 포함된 파일

변경 내역

Security

XSS 등을 통한 session id를 획득하여 이용할 수 없도록 방지 #952 @bnu
한국인터넷진흥원에서 알려주셨습니다
로그인 후 session id를 재발급하도록 개선하였으며, 관리자 계정은 좀 더 자주 갱신합니다
모듈의 관리자(manager)가 허용되지 않은 페이지 접근 및 동작을 수행할 수 있는 문제 고침 #953 @bnu
sejin7940(배세진. http://sejin7940.co.kr)님께서 알려 주셨습니다
Defect

회원 그룹을 추가할 때 지정한 그룹 순서를 반영하지 않던 문제 고침 #40 @akasima
관리페이지 회원 목록에서 이메일 주소를 두 번 츨력하는 문제 고침 #891 @sejin7940
사이트맵 설정에서 삭제가 안 되는 문제 고침 #899 @sejin7940
설정파일을 이용한 XE 설치가 동작하지 않던 문제 고침 #905 @akasima
쉬운설치로 설치 후 임의로 파일 삭제 시 여전히 설치된 상태로 표시하는 문제 고침 #916 @akasima
위젯 페이지에서 모바일용 페이지 설정이 없을 때 PC용 콘텐츠를 가져오면서 임의의 CSS를 추가하지 않도록 변경 #954 @bnu
선택적 SSL 사용 시 로그인할 때 적용되지 않던 문제 고침 #927 @akasima
AJAX 진행 메시지로 인해 일부 환경에서 Javascript 오류가 발생할 수 있는 문제 고침 #908 @akasima
최고관리자에게 문서첨부제한이 적용되는 문 고침 #871 @izuzero
Enhancement

위지윅 에디터에서 굵은 문자를 표시할 때 <strong>태그를 사용하도록 개선 #881 @akasima

이와 함께 <i>는 <em>으로 <s><strike>는 <del>로 치환
스패머 관리 기능에서 삭제 시 휴지통으로 이동하던 동작을 바로 삭제하도록 기본 설정 변경 #951 @sejin7940

최고관리자는 공개하지 않은 회원정보도 회원정보 페이지에서 볼 수 있도록 개선 #962 @sejin7940
vimeo.com의 embed 코드 변경에 따른 지원 개선 #964 @sejin7940
#952 관련 swfuploader가 session id의 변경을 반영할 수 있도록 개선 @bnu
사이트 맵에서 메뉴 추가 시 사이트 설정에 따라 모듈의 모바일 뷰를 기본 활성하도록 개선 #963 @sejin7940
확장 기능 설치 디렉토리의 권한에 따라 FTP사용이 불가능한 환경에서도 설치 가능하도록 개선 #904 @akasima
게시판에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima
게시판에서 목록 정렬을 확장 변수로 지정할 수 있도록 개선 #351 @sejin7940
게시판에서 검색 시 제목+내용 검색으로 기본으로 하도록 변경 #918 @ajkj
관리페이지 회원 목록에서 가입일, 최근로그인 세부 시간을 확인할 수 있도록 개선 #906 @akasima
통합되었지만, 오래된 레이아웃 등과의 호환성을 위해 인증메일 재발송 템플릿 다시 추가 #880 @sejin7940
etc

page 모듈의 PC용 기본 스킨의 이름에 모바일용으로 표시하던 문제 고침 #955 @YJSoft
jQuery의 andSelf()를 대체된 addBack()으로 변경 #931 @lansi951 #913 #907 @akasima
For Developer

문서 및 댓글 삭제 시 첨부파일을 함께 제거할 때 file.deleteFile 트리거를 호출하지 않았던 문제 고침 #18@akasima
템플릿 파일에서 오류 발생 시 오류 정보와 해당 파일명 출력하도록 개선 #670 @YJSoft

이 오류 정보는 debug 모드를 활성화 했을 때(__DEBUG__ 값을 1 이상으로 설정)만 보여집니다
documentController::moveCategoryDown()에서 누락된 정보로 인해 비정상 동작할 수 있는 문제 고침 #933@qw5414

룰셋에서 커스텀 룰을 지정할 때 rule 이름에 따라 적용되지 않을 수 있는 문제 고침 #898 @lansi951
HTML 코멘트로 디버그가 출력되지 않는 문제 고침 #929 @devdho
잘못 다룬 session_id() 고침 #936 @bnu
모바일 모드에서 PC 환경과 동일하게 jQuery 등 기본 css, js 파일을 로드하도록 변경 #919 @akasima
board 모듈에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima
#953 보안 향상에 따른 안내
manager(모듈 관리)권한을 가진자의 권한을 정상적으로 제한하기위해 변경이 있었습니다.
disp{module_name}Admin, proc{module_name}Admin, get{module_name}Admin 등 최고관리자 또는 관리페이지에 사용할 목적으로 만들어진 Action에 대한 접근이 일괄 제한됩니다.

이러한 admin 액션에 자유롭게 허용하던 모듈은 이전처럼 manager에게 접근 권한을 허용하기위해서는 다음과 같이 action 별로 권한을 허용할 수 있습니다.

<module>
...
    <permissions>
        <permission action="허용하고자하는 action" target="manager" />
    </permissions>
...
</module>
이처럼 허용하고자하는 action을 <permissions> 항목을 추가하여 taget에 'manager'를 지정하면 됩니다.
 
개발 참여 안내

XE는 자유 소프트웨어로서 참여형 프로젝트로 진행됩니다.

사용하시는 분들의 버그 리포트를 기다리고 있으며 베타 버전에 대한 테스트와 코드 기여 또한 XE의 발전에 큰 도움이 됩니다.

XE Core 프로젝트 페이지에 발견하신 문제를 등록할 수 있습니다. 빠른 문제 파악과 중복을 방지하기 위해 프로젝트 페이지에서 이슈를 접수하고 있습니다.

이슈 등록 시 XE 버전을 함께 기재해주시기 바라며 필요 시 확장 기능의 버전, 브라우저 버전, PHP 버전 등의 정보도 함께 상세히 기록해주시면 좀 더 빠른 문제 파악에 도움이 됩니다. 또한, 이미 동일한 문제가 등록되어 있는지 먼저 목록을 살펴보거나 검색하여 확인해주시기 바랍니다.

보안 문제는 developers@xpressengine.com 으로 보내주시기 바랍니다.

배포자 xe
이 게시물을
현재평점 0 (평가자 수 : 0)
profile
여기에서 행복한 시간 되십시오.