Practical

누구나 어떤기기로든 간단하게

공지사항


네이버 스마트에디터 2.0 보안패치 진행

  •  글쓴이 : simplydesign
    조회 : 2,309
    16-09-10 15:34  

스마트에디터 보안취약점 공지

==========================

안녕하세요. NAVER 스마트에디터 담당자입니다.

사진 업로더 샘플에 보안취약점이 추가로 확인되어 가장 최신버전2.8.2 에 핫픽스 반영하였습니다.
2.8.2미만 버전을 사용하고 계신 경우, 보안패치된 file_uploader.php 파일만 다운받아 덮어씌우시면 됩니다.

=========================
KISA 보안취약점 보고내용
=========================
네이버 SmartEditor 2.0 리다이렉트 취약점 (16-511)

 □ 취약점 개요
o 네이버 스마트 에디터 2.0 최신버전을 적용한 사이트에서 검증되지 않은 사이트로 리다이렉트가 가능한 취약점 발견

□ 테스트 환경
o 제품버전 : SmartEditor2.0 Basic v2.8.2.2(‘16.7.21)
o PHP v5.2.12

□ 취약점 내용
o file_uploader.php에서 callback 파라미터 값을 별도 검증 없이 받아와 헤더 메시지를 보내는 과정에서 리다이렉트 취약점이 발생  

=========================
보안패치사항
=========================
file_uploader.php에서 리다이렉션URL을 파라메터로 받지 않고 직접 지정하여 보안 강화
=========================

(참고사항)
추가로 sample.php에서 XSS filtering을 위해 HTMLPurifier라이브러리를 적용하고 파일경로 수정하였으니 참고바랍니다.
sample.php -> sample/viewer/index.php

 

==========================

2016-09-10 17:00 패치

현재 스마트에디터 2.0이 탑재된 심플리디자인 고객계정 일괄 패치 진행 완료!

그럼 좋은하루 되십시요.

Why

왜! 심플리디자인인가?

 

  • 1+1=2
    홈페이지 제작 복잡하지 않아요
    심플리디자인을 만나면 한결 편해집니다
  • 라이센스
    제작에 사용되는 모든 인물, 그래픽 이미지 등은
    아이클릭아트와 B2B 계약을 통해 사용됩니다
  • 스피드
    일단 일처리가 빠릅니다
    글자하나 변경하는것도 일주일이 걸렸나요?
  • 척하면 척
    설명하면 담당자가 이해못해 답답하셨나요?
    척하면 척! 빠르게 이해합니다
  • 해결사
    예상못한 변수가 생겨 작업이 끝날기미가 안보였나요?
    시작된 일은 반드시 끝내고 점을 찍습니다
  • 노잠수
    심플리디자인 사전엔 잠수는 없습니다
    연락두절 걱정은 이제그만!
  • 주치의
    약은 약사에게 진찰은 의사에게
    웹은 심플리디자인에게 문의하세요
  • 고퀄리티
    심플하고 세련된 디자인을 원하세요?
    고집스러운 심플리디자인만의 디자인을 경험하세요