귀하는 로그인되어 있지 않습니다. 이대로 편집하면 귀하의 IP 주소가 편집 기록에 남게 됩니다.스팸 방지 검사입니다. 이것을 입력하지 마세요!==보안취약점 수정== * [RVE-2022-2] 외부페이지의 템플릿 문법을 이용한 원격 코드 실행(RCE) 취약점 ** 외부페이지는 페이지(page) 모듈에서 제공하는 기능으로, 관리자가 지정한 경로의 HTML 문서를 불러오거나 PHP 스크립트를 실행하여 레이아웃의 틀 안에 표시할 수 있는 기능입니다. 특수한 기능을 가진 페이지를 간단하게 구현하기 위해 널리 사용되어 왔으나, 모듈로 제작된 기능에 비해 대체로 코드 품질이 열악한 실정입니다. ** 외부페이지에 템플릿 문법을 사용하지 않는 사이트라도 안전하지 않습니다. 공격자가 템플릿 문법을 임의로 삽입할 수 있다는 점이 문제이기 때문입니다. GET/POST 변수, 글/댓글/회원정보 등 사용자가 임의로 입력할 수 있는 데이터를 처리하는 기능이 조금이라도 있다면 위험하며, 해당 데이터를 escape(), htmlspecialchars(), strip_tags(), addslashes() 등 일반적인 방법으로 필터링하더라도 효과가 없습니다. ** 외부페이지를 전혀 사용하지 않는 사이트이거나, 어떤 로직이나 변수도 사용하지 않고 순수한 HTML, CSS, JS만으로 작성된 외부페이지이거나, URL로 불러오는 외부페이지이거나, 관리자 전용으로 접근 권한을 제한해 둔 외부페이지라면 안전합니다. ** 라이믹스 2.0.19에서는 외부페이지에 PHP 로직이나 변수, 템플릿 문법 등을 사용하더라도 안전합니다. 단, 템플릿 문법 지원 기능이 기본으로 OFF되어 있으므로 업데이트 직후에는 템플릿 문법이 해석되지 않고 그대로 노출됩니다. 외부페이지에 템플릿 문법을 사용하려면 페이지(page) 모듈의 각 외부페이지 설정 화면에서 "외부페이지 후처리" → "PHP 실행" 및 "템플릿 해석" 옵션을 켜야 합니다. ** 단, 처리 방식이 달라졌으므로 외부페이지 소스에 포함된 인클루드 경로 등을 일부 수정해야 할 수도 있습니다. 기존에 템플릿 문법을 사용하지 않던 외부페이지라도 영향을 받을 수 있으니 하나씩 점검한 후 사용하시기 바라며, 향후 외부페이지에서는 가급적 템플릿 문법에 의존하지 말고 순정 PHP와 HTML만으로 작성하는 것을 권합니다. 순수한 HTML 페이지라면 "PHP 실행" 옵션도 끄는 것이 가장 안전합니다. ** 라이믹스 1.x 및 XE 1.x용 패치는 위와 같은 ON/OFF 옵션이 포함되어 있지 않으므로, 패치 적용시 더이상 외부페이지에서 템플릿 문법을 사용할 수 없습니다. 템플릿 문법을 사용하는 외부페이지는 순정 PHP 및 HTML로 변환하여야 합니다. 변환하기 곤란한 경우 라이믹스 2.0.19 이상 버전으로 업데이트하십시오. ** 라이믹스 1.x 및 XE 1.x에서 모든 패치를 즉시 적용하기 곤란한 경우, 우선 dispPageIndex() 부분에 추가된 1차 방어 기능(특수문자 금지 코드)부터 적용하고, 외부페이지 소스를 수정하는 등 준비를 마친 후에 나머지 패치(템플릿 해석 기능을 실제로 제거하는 코드)를 적용하는 방법도 있습니다. 특수문자 금지 코드만으로는 100% 안전하지 않으나, 불가피한 경우 참고하시기 바랍니다. ** 아주 오래된 버전의 XE이거나, 오래된 버전에서 꾸준히 업그레이드해 왔다면 opage 모듈에도 동일한 패치를 적용해야 할 수 있습니다. opage 모듈이 있는지 확인하시고, 만약 더이상 사용하지 않는다면 삭제하시기 바랍니다. ** 위젯 코드는 이번 보안패치나 "템플릿 해석" ON/OFF 옵션에 영향을 받지 않습니다. 편집 요약 가온 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 가온 위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요. 또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요! 취소 편집 도움말 (새 창에서 열림)