Rhymix 2.1.21 - 보안패치

보안패치로 릴리즈 된 것은 1년 만입니다.
아래는 2.1.21 릴리즈 노트 입니다.

이번 보안 패치는 정상적인 업데이트가 어려운 작가 홈페이지 3곳을 제외한 17개 홈페이지에 업데이트 적용 했습니다.
업데이트 이후 사이트 각각에서 사용중인 서드파티 자료 전체를 테스트 하지 않았으니, 각자 홈페이지들에 이상 여부를 직접 확인해 보시기 바랍니다.
 

 

 

보안패치입니다. 가급적 빨리 업데이트하시기 바랍니다.

 

보안취약점 수정

• [RVE-2025-1] 잠재적인 SQL 인젝션 문제
  • 특정 서드파티 자료에서 발견된 것과 비슷한 유형의 취약점으로부터 코어를 보호하기 위해, XML 쿼리의 <index> 태그에 var 속성을 이용하여 입력할 수 있는 정렬 조건을 하나의 컬럼명으로 제한합니다. default 속성은 제한하지 않으므로, 복잡한 조건으로 정렬해야 할 경우 default 속성에 SQL 표현식을 하드코딩하시기 바랍니다.
  • 현재 코어에서 문제를 일으키는 부분은 없는 것으로 파악되지만, 상당수의 서드파티 자료가 사용자 입력값을 제대로 검증하지 않고 있는 것으로 보이기 때문에 선제적으로 대응합니다. 기존의 느슨한 동작에 의존하던 서드파티 자료는 이번 패치 후 오작동할 수도 있습니다.

 

새 기능과 변경 사항

• 회원 이름에 공백 문자 허용 (#2466)
• 확장변수 타입에 따라 불필요한 설정을 숨김 (#2486)
• 입력되지 않은 확장변수는 글읽기 화면에서 숨김 (#2486)
• 한줄게시판 등 목록 화면에서 곧바로 글을 쓰는 상황에서 에디터 호환성 강화
• 비정상적인 파일 업로드 상황에서 임의로 exit하지 않고 Exception을 던지도록 수정
• 일부 PHP 기본 함수가 존재하지 않는 비정상적인 호스팅 환경에서 라이믹스를 설치하려고 할 경우, 설치 환경 체크 과정에서 표시
• 멀티미디어 파일 직접 접근을 허용하지 않으면 본문에 삽입된 멀티미디어가 재생되지 않을 수 있다는 경고 문구 추가
• SSO 기능은 폐기 예정이므로 의존하지 말라는 안내 메시지 추가

 

개발자를 위한 새 기능과 변경 사항

• 웹뷰앱 호환성 개선을 위해, 게시물 관리 팝업창 상단에 닫기 버튼 추가 (#2478)
• SMS 인증코드 무한 대입을 막기 위해 유효 기간을 10분으로 제한하고, 10회 이상 틀리면 인증코드를 무효화하도록 변경 (#2480)
• 템플릿 v2에서 load 지시자를 사용하여 <script type="module"> 삽입 지원 (#2482)
• XML 쿼리의 <index>, <list_count>, <page_count>, <page> 태그에 모두 if 속성 지원
• Context::addHtmlHeader(), Context::addHtmlFooter() 등을 사용할 때, 이미 있는 내용보다 앞에 붙이는 $prepend 옵션 지원
• Cloudflare Worker를 사용하여 접속한 경우, 헤더에서 실제 IP를 찾지 않도록 변경

 

버그 수정

• 문서 페이지에서 수정 권한이 있는 그룹에게 페이지 수정 버튼이 표시되지 않는 문제 수정 (#2458)
• 회원 그룹의 다국어 명칭이 이중 인코딩된 상태로 저장되는 문제 수정 (#2459)
• upload_target_type이 지정되지 않은 파일이 글읽기 화면에서 누락되는 문제 수정 (#2462)
• 삭제된 도메인으로만 접근할 수 있도록 설정된 모듈은 해당 정보를 표시하여 오해가 없도록 함 (#2463)
• 템플릿 v2에서 load 지시자의 변수가 잘못 전달되는 문제 수정 @dewekk (#2471)
• 회원 모듈에 다른 레이아웃을 사용하는 경우, 헤더 스크립트가 적용되지 않는 문제 수정 (#2474)
• 로그인 수단으로 전화번호만 사용하는 사이트에서, 관리자 회원정보 수정 폼이 이상하게 표시되는 문제 수정 (#2472)
• 로그인 수단으로 전화번호만 사용하는 사이트에서, 가입 후 자동 로그인이 되지 않는 문제 수정 (#2485)
• 윈도우 서버에서 스크립트 합치기 기능을 사용할 때, CSS에 포함된 상대경로가 잘못 변환되는 문제 수정 (#2492)
• SSO 기능 사용시 리퍼러가 넘어오지 않으면 TypeError가 발생하는 문제 수정 (#2493)
• 작성자가 익명이면 관리자 메일이 발송되지 않는 문제 수정
• cut_str() 함수 사용시 이모지 등 일부 HTML 엔티티가 잘리는 문제 수정
• 배열을 사용하여 여러 카테고리의 문서를 동시에 조회하려고 하면 TypeError가 발생하는 문제 수정
• (2.1.19 이후) 관리 그룹에게 문서, 댓글 등의 관리 권한이 온전히 주어지지 않는 문제 수정
• Storage::write() 메소드의 implcitly nullable 파라미터 수정

 

정리

• 누락되거나 잘못된 영어 번역 추가/수정 (#2454, #2456, #2460)
• 본문삽입 가능한 동영상 포맷 목록에서 ogv 제외 (#2469)
• iframe 지원 목록에서 폐쇄된 서비스들을 제거하고, 치지직 등 신규 서비스 추가 @xperia-query (#2475, #2476)
• "등록되지 않은 도메인 처리" 설정에 대한 오해를 줄이기 위해 "설정하지 않은 도메인 처리"로 변경