Nbuilder PHP 1.6 -> 1.6.1 / 보안패치(중요!) > 패스코리아넷 - 그룹웨어, 인트라넷, 엔메일(메일서버/웹메일/스팸차단/바이러스차단)

한국정보보호진흥원에서 알려지지 않은 보안 취약점을 사전에 발견하여 보안조치를 하고자
대학 정보보호 동아리 학생들을 대상으로 "제2회 S/W 보안취약점 찾기 대회"를 개최하였습니다.
이 과정에서 엔빌더에 관련된 보안 취약점이 발견되어 패치를 제작하게 되었습니다.
관련 정보를 제공해주신분들에게 진심으로 감사드립니다.

################################################################################
# Nbuilder Unix/Linux 1.6.1 - 보안 취약점 패치 안내
################################################################################

1. XSS 공격 문제.
    게시판 등에 사용자가 악의적인 <script>태그를 삽입할 수 있는 문제.
    => 총관리자가 아닐 경우 엔빌더내의 모든 페이지에서 <script> 태그를 입력할 수 없도록 제한함.

2. PHP에서 magic_quotes_gpc=Off 환경인 웹사이트에서만 발생하는 SQL Injection 공격 문제.
    => 엔빌더는 magic_quotes_gpc=On 환경에서 설계되었기 때문에 Off 인 환경에서도 안전하게 동작하려면
    거의 모든 소스를 수정해야 합니다. 따라서 웹호스팅 업체 등 국내 대부분의 환경이 On 인 점을 감안하여
    Off 환경일 경우 엔빌더 사용을 중단되고 아래 경고를 보여주도록 제한해두었습니다.

        [Nbuilder PHP]사용중지
        --------------------------------------------------------------------------------
        현재 PHP 설정(php.ini)에서 magic_quotes_gpc 값이 Off 로 되어 있으므로 보안상 매우 취약합니다.
        반드시 서버관리자나 호스팅업체에 요청하셔서 magic_quotes_gpc 값을 On 으로 변경하시면 정상적으로 동작됩니다.
        만약 위험을 감수하고 사용중지를 해제하려면 아래 소스에서 보안강화 루틴을 삭제하시면 됩니다.
        nbuilder/include/global_check.inc.php 18 line

3. 패치전 유의사항
    패치를 적용하기전에 먼저 현재 PHP 설정(php.ini)에서 magic_quotes_gpc 값이 On 으로 되어 있는지 꼭 확인해보셔야 합니다.
        [엔빌더 - 시스템관리 - PHPINFO]

    만약 해당 값이 Off 로 되어 있을 경우 보안상 매우 취약하므로 Nbuilder 1.6.1 부터는 프로그램 사용이 자동중단되어 버립니다.
    따라서 반드시 해당값을 서버관리자에게 요청하셔서 On 으로 적용해두고 패치를 적용하시기 바랍니다.

    참고)
    국내 대부분의 웹호스팅업체는 해당 값이 On 으로 되어있습니다.
    단 직접 서버를 설치해서 사용중이신 경우 Off 일 가능성이 있습니다.

################################################################################
# Nbuilder Unix/Linux 1.6.1 - 업그레이드방법
################################################################################

* 업그레이드 방법은 간략하게 설명드리면 기존 소스를 덮어씌우는 방법입니다.
* 아래 내용은 초보자분들을 위한 상세안내입니다.

[주의사항]
이 업그레이드문서는 1.6 사용자를 기준으로 제작되었습니다.
이전 버젼 사용자는 1.6 로 업그레이드한뒤 1.6.1 로 업그레이드해야합니다.
1.6 업그레이드파일은 http://passkorea.net [Download]메뉴에 있습니다.

다음은 엔빌더 패치파일을 /home/YourUserID/ 디렉토리에 업로드한뒤
/home/YourUserID/public_html 에 설치할 경우의 예제입니다.
사용된 경로명은 자신의 계정에 맞게 수정해서 사용하시기 바랍니다.

[수정된 소스가 존재할때 주의사항]
기존 사이트를 업그레이드할 계획이라면 먼저 기존 사이트의 소스를 백업받은뒤
첨부한 패치파일을 덮어씌우시기 바랍니다.(패키지내 nbuilder/doc/backup.txt 참고)

사용자가 임의로 변경한 소스는 유실될 수 있으나 디비내용은 유실되지 않습니다.

[텔넷에서의 작업]
-. FTP 를 통해 다운받은 패키지의 압축을 풀지 않고 업로드합니다.
path) /home/YourUserID/nbuilder1.6_to_1.6.1.tar.gz

-. Telnet/SSH 로 접속해서 패키지를 업로드한 디렉토리로 이동합니다.
cd /home/YourUserID/public_html

-. 설치할 디렉토리를 지정한뒤 압축을 풉니다.
Linux)
tar zxvf ../nbuilder1.6_to_1.6.1.tar.gz

Unix)
gunzip ../nbuilder1.6_to_1.6.1.tar.gz
tar xvf ../nbuilder1.6_to_1.6.1.tar

[Windows 정품 구입자분들을 위한 안내]
1. 압축을 풀어 소스들을 덮어씌웁니다.
2. 윈도우 탐색기에서 nbuilder\include_xcopy.bat 실행해서 include 내의 파일들이 복사되면 끝납니다.

################################################################################