Skip to content

XE 1.7.6 Release Note
Compare
Choose a tag to compare
released this 18 Sep 00:34
· 2093 commits to master since this release
1.7.6
826d7f6

XE 1.7.6 Release Note

XpressEngine Core 1.7.6을 배포합니다.

보안 취약점 해결과 버그 및 개선 사항을 처리했습니다.

보안 문제 해결을 위해 업데이트를 권고합니다.

변경 내역

Security

  • XSS 등을 통한 session id를 획득하여 이용할 수 없도록 방지 #952 @bnu
    • 한국인터넷진흥원에서 알려주셨습니다
    • 로그인 후 session id를 재발급하도록 개선하였으며, 관리자 계정은 좀 더 자주 갱신합니다
  • 모듈의 관리자(manager)가 허용되지 않은 페이지 접근 및 동작을 수행할 수 있는 문제 고침 #953 @bnu

Defect

  • 회원 그룹을 추가할 때 지정한 그룹 순서를 반영하지 않던 문제 고침 #40 @akasima
  • 관리페이지 회원 목록에서 이메일 주소를 두 번 츨력하는 문제 고침 #891 @sejin7940
  • 사이트맵 설정에서 삭제가 안 되는 문제 고침 #899 @sejin7940
  • 설정파일을 이용한 XE 설치가 동작하지 않던 문제 고침 #905 @akasima
  • 쉬운설치로 설치 후 임의로 파일 삭제 시 여전히 설치된 상태로 표시하는 문제 고침 #916 @akasima
  • 위젯 페이지에서 모바일용 페이지 설정이 없을 때 PC용 콘텐츠를 가져오면서 임의의 CSS를 추가하지 않도록 변경 #954 @bnu
  • 선택적 SSL 사용 시 로그인할 때 적용되지 않던 문제 고침 #927 @akasima
  • AJAX 진행 메시지로 인해 일부 환경에서 Javascript 오류가 발생할 수 있는 문제 고침 #908 @akasima
  • 최고관리자에게 문서첨부제한이 적용되는 문 고침 #871 @izuzero

Enhancement

  • 위지윅 에디터에서 굵은 문자를 표시할 때 <strong>태그를 사용하도록 개선 #881 @akasima
    • 이와 함께 <i><em>으로 <s><strike><del>로 치환
  • 스패머 관리 기능에서 삭제 시 휴지통으로 이동하던 동작을 바로 삭제하도록 기본 설정 변경 #951 @sejin7940
  • 최고관리자는 공개하지 않은 회원정보도 회원정보 페이지에서 볼 수 있도록 개선 #962 @sejin7940
  • vimeo.com의 embed 코드 변경에 따른 지원 개선 #964 @sejin7940
  • #952 관련 swfuploader가 session id의 변경을 반영할 수 있도록 개선 @bnu
  • 사이트 맵에서 메뉴 추가 시 사이트 설정에 따라 모듈의 모바일 뷰를 기본 활성하도록 개선 #963 @sejin7940
  • 확장 기능 설치 디렉토리의 권한에 따라 FTP사용이 불가능한 환경에서도 설치 가능하도록 개선 #904 @akasima
  • 게시판에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima
  • 게시판에서 목록 정렬을 확장 변수로 지정할 수 있도록 개선 #351 @sejin7940
  • 게시판에서 검색 시 제목+내용 검색으로 기본으로 하도록 변경 #918 @ajkj
  • 관리페이지 회원 목록에서 가입일, 최근로그인 세부 시간을 확인할 수 있도록 개선 #906 @akasima
  • 통합되었지만, 오래된 레이아웃 등과의 호환성을 위해 인증메일 재발송 템플릿 다시 추가 #880 @sejin7940

etc

For Developer

  • 문서 및 댓글 삭제 시 첨부파일을 함께 제거할 때 file.deleteFile 트리거를 호출하지 않았던 문제 고침 #18 @akasima
  • 템플릿 파일에서 오류 발생 시 오류 정보와 해당 파일명 출력하도록 개선 #670 @YJSoft
    • 이 오류 정보는 debug 모드를 활성화 했을 때(__DEBUG__ 값을 1 이상으로 설정)만 보여집니다
  • documentController::moveCategoryDown()에서 누락된 정보로 인해 비정상 동작할 수 있는 문제 고침 #933 @qw5414
  • 룰셋에서 커스텀 룰을 지정할 때 rule 이름에 따라 적용되지 않을 수 있는 문제 고침 #898 @lansi951
  • HTML 코멘트로 디버그가 출력되지 않는 문제 고침 #929 @devdho
  • 잘못 다룬 session_id() 고침 #936 @bnu
  • 모바일 모드에서 PC 환경과 동일하게 jQuery 등 기본 css, js 파일을 로드하도록 변경 #919 @akasima
  • board 모듈에서 게시물 목록을 닉네임, 이름, ID로 정렬 가능하도록 개선 #562 @akasima

#953 보안 향상에 따른 안내

manager(모듈 관리)권한을 가진자의 권한을 정상적으로 제한하기위해 변경이 있었습니다.
disp{module_name}Admin, proc{module_name}Admin, get{module_name}Admin 등 최고관리자 또는 관리페이지에 사용할 목적으로 만들어진 Action에 대한 접근이 일괄 제한됩니다.

이러한 admin 액션에 자유롭게 허용하던 모듈은 이전처럼 manager에게 접근 권한을 허용하기위해서는 다음과 같이 action 별로 권한을 허용할 수 있습니다.

<module>
...
    <permissions>
        <permission action="허용하고자하는 action" target="manager" />
    </permissions>
...
</module>

이처럼 허용하고자하는 action을 <permissions> 항목을 추가하여 taget에 'manager'를 지정하면 됩니다.

Assets 6
Loading