안녕하세요 달소입니다.
오늘은 라이믹스의 보안패치 릴리즈 소식입니다.
기본적으로 기능개선의 경우.. 따로 업데이트하고있지않았지만 보안패치의 경우 업데이트하지 않을 시 문제가 발생하기때문에
반드시 진행해줘야합니다.
서버 및 사이트를 운영하시는분들은 반드시 취약점에 대해서는 항상 주의하시는게 좋습니다.
https://rhymix.org/news/200Rhymix – Rhymix 2.0.10 Release Notes [SECURITY]중요한 보안패치입니다. 모든 사용자는 가급적 빨리 업데이트하시기 바랍니다. 라이믹스 1.9.x.x 사용자는 1…Rhymix / 2021-04-13
Rhymix 2.0.10 Release Notes
중요한 보안패치입니다. 모든 사용자는 가급적 빨리 업데이트하시기 바랍니다.
라이믹스 1.9.x.x 사용자는 1.9.10 릴리즈를 사용하시기 바랍니다.
업데이트가 곤란한 사정이 있는 경우, 아래의 2가지 변경 내역을 적용하시면 임시조치가 가능합니다.
첫 번째 패치는 최소 2012년 이후 판매 또는 배포된 모든 버전의 XE용 알림센터(Pro 또는 Lite) 모듈에도 동일하게 적용해야 합니다. XE용 알림센터는 XE 자료실에 업데이트된 3.0.9 버전을 사용하시면 됩니다. 두 번째 패치는 라이믹스에서 비교적 최근에 추가된 기능과 관련이 있으므로, XE용 알림센터에는 적용되지 않습니다.
보안취약점 수정
- 알림센터의 AJAX 액션을 통해 회원의 아이디와 이메일 주소가 노출될 수 있는 문제 수정
- @bnu 님이 제보해 주셨습니다.
- 알림센터에서 스크랩 알림을 익명 처리하더라도 프로필 사진을 통해 스크랩한 회원을 유추할 수 있는 문제 수정 (#1685)
- @bnu 님이 제보해 주셨습니다.
개선점
- 문서 업데이트시 extra_vars 필드를 다시 넘기지 않더라도 기존에 저장되어 있던 extra_vars 필드를 보존하록 개선 (#1674)
- 최근 알림센터에 새로 추가된 화면을 서드파티 스킨이 지원하지 않는 경우, 기본 스킨이라도 표시하도록 변경 (#1680)
- CloudFlare IP 대역 정보 업데이트 @YJSoft (#1681)
- 알림센터 수신 설정 팝업 페이지 디자인 개선 (#1682)
- 문서나 댓글에 소속된 파일이 아니더라도 소속 모듈을 관리자 화면에서 볼 수 있도록 개선
버그 수정
- 관리자에게 표시하도록 설정한 디버그 정보가 표시되지 않는 문제 수정 (#1673)
- 알림센터에서 반응형 스킨을 선택하더라도 인식하지 못하는 문제 수정 (#1683)
- 일부 서버 환경에서 이메일 주소 변경을 위한 인증 코드가 정상적으로 기록되지 않는 문제 수정
- 위젯 코드에서 지정한 위젯 스킨이 존재하지 않는 경우 엉뚱한 내용이 대신 출력되는 문제 수정
- 모듈 개발자가 특정 액션에 사용할 수 있는 HTTP method를 제한하더라도 controller 이외의 클래스에서는 적용되지 않는 문제 수정
Rhymix 1.9.10 Release Notes
라이믹스 1.9.x.x 버전을 아직 사용하고 계신 분들을 위한 보안패치 백포트 릴리즈입니다. (#1541)
라이믹스 2.0.x 사용자는 2.0.10 릴리즈를 사용하시기 바랍니다.
업데이트가 곤란한 사정이 있는 경우, 아래의 2가지 변경 내역을 적용하시면 임시조치가 가능합니다. 구 버전 사용시 줄번호가 다를 수 있습니다.
첫 번째 패치는 최소 2012년 이후 판매 또는 배포된 모든 버전의 XE용 알림센터(Pro 또는 Lite) 모듈에도 동일하게 적용해야 합니다. XE용 알림센터는 XE 자료실에 업데이트된 3.0.9 버전을 사용하시면 됩니다. 두 번째 패치는 라이믹스에서 비교적 최근에 추가된 기능과 관련이 있으므로, XE용 알림센터에는 적용되지 않습니다.
보안취약점 수정
- 알림센터의 AJAX 액션을 통해 회원의 아이디와 이메일 주소가 노출될 수 있는 문제 수정
- @bnu 님이 제보해 주셨습니다.
- 알림센터에서 스크랩 알림을 익명 처리하더라도 프로필 사진을 통해 스크랩한 회원을 유추할 수 있는 문제 수정 (#1685)
- @bnu 님이 제보해 주셨습니다.
기타 개선점 및 버그 수정
이 릴리즈는 보안패치가 주 목적이지만, 지난 가을 1.9.9.9 버전 릴리즈 후 몇 주간 (2.0.0-alpha 버전으로 넘어가기 전에) 수정되었던 사항들도 포함되어 있습니다. 아래에 나열된 개선점과 버그 수정 사항은 2.x 버전대에도 이미 적용되어 있는 것들입니다. 1.x 버전대의 보안패치 백포트 지원은 1년 이내에 종료될 예정이니, 가급적 빨리 2.x 버전으로 업그레이드하시기 바랍니다.
- XE 자료실이 아닌 다른 서버에서 쉬운설치 데이터를 받아올 수 있도록 개선 @ForPeople (#1405)
- 반응형 레이아웃 사용시에도 viewport 메타 태그를 출력하도록 함 (#1389)
- 포인트 모듈에서 레벨을 많이 생성하더라도 max_input_vars 설정에 영향을 받지 않도록 개선
- 특정한 상황에서 포인트 캐시가 갱신되지 않는 문제 수정
- 익명글은 스팸 관리 기능을 통해 작성자의 글을 일괄 처리할 수 없는 문제 수정 (#1414)
- 대시보드의 최근글 목록에 제목 굵기, 색깔 등과 관련된 HTML 태그가 노출되는 문제 수정 (#1408)
- 첨부이미지 본문 자동 삽입 옵션을 끈 경우 수동 삽입도 되지 않는 문제 수정
- 소리 없는 MP4 파일을 GIF로 취급하는 기능이 작동하지 않는 문제 수정 (#1403)
- 누락된 인도네시아 국기 추가 (#1410)
- 시험용 알림 생성 기능의 오류 수정 @bnu (#1401)
- CSS 로딩 순서가 뒤바뀔 수 있는 문제 수정
- FTP를 사용하여 서드파티 자료를 설치하는 기능 제거