그누보드(영카트) 5.5.14 보안패치, 쇼핑몰 결제 안전 강화!

그누보드(영카트) 5.5.14 버전은 2024년 4월 3일에 출시된 최신 버전입니다. 이번 버전에서는 핵심 보안 취약점을 해결하고, 쇼핑몰 결제 안전을 강화하며, 데이터베이스 업그레이드 및 관리자 편의성 개선을 포함한 다양한 변경 사항이 있습니다.

목차

그누보드(영카트) 5.5.14 보안 패치 및 가이드

▲ (주)에스아이알소프트 홈페이지[ www.sir.kr ]

 

핵심 보안 취약점 해결

 

XSS 취약점

XSS(Cross-site Scripting) 취약점은 공격자가 악성 스크립트를 웹사이트에 삽입하여 사용자의 정보를 탈취하거나 사이트를 악용하는 공격입니다. 그누보드(영카트) 5.5.14 버전에서는 관리자 페이지, 댓글, 쪽지 등 다양한 곳에서 XSS 취약점을 해결했습니다.

 

SQL 삽입 취약점

SQL 삽입 취약점은 공격자가 악성 SQL 코드를 삽입하여 웹사이트의 데이터베이스를 손상시키거나 정보를 탈취하는 공격입니다. 그누보드(영카트) 5.5.14 버전에서는 게시판, 쇼핑몰, 설문조사 등 다양한 곳에서 SQL 삽입 취약점을 해결했습니다.

 

답변 달린 상품문의글 수정 가능 취약점

답변 달린 상품문의글 수정 가능 취약점은 공격자가 답변이 달린 상품문의글을 임의로 수정하여 사이트 관리자 또는 다른 사용자에게 피해를 입힐 수 있는 취약점입니다. 그누보드(영카트) 5.5.14 버전에서는 이 취약점을 해결하여 답변이 달린 상품문의글은 수정할 수 없도록 제한했습니다.

 

쇼핑몰 사용후기 별점 조작 취약점

쇼핑몰 사용후기 별점 조작 취약점은 공격자가 쇼핑몰 상품의 사용후기 별점을 임의로 조작하여 사기성 상품 판매를 유도할 수 있는 취약점입니다. 그누보드(영카트) 5.5.14 버전에서는 이 취약점을 해결하여 관리자만 별점을 수정할 수 있도록 제한했습니다.

 

Stored XSS 취약점

Stored XSS 취약점은 공격자가 악성 스크립트를 웹사이트의 데이터베이스에 저장하여 사용자가 해당 페이지를 방문할 때 공격을 실행하는 취약점입니다. 그누보드(영카트) 5.5.14 버전에서는 이 취약점을 해결하여 데이터베이스에 저장된 내용을 출력하기 전에 XSS 필터링을 적용했습니다.

쇼핑몰 결제 안전 강화

그누보드(영카트) 5.5.14 버전에서는 쇼핑몰 결제 과정에 결제수단 체크 과정을 추가하여 결제 안전을 강화했습니다. 이는 공격자가 가짜 결제수단을 사용하여 결제를 진행하는 것을 방지하는 데 도움이 됩니다.

데이터베이스 업그레이드 및 관리자 편의성 개선

그누보드(영카트) 5.5.14 버전에서는 데이터베이스 업그레이드 과정을 간소화하고 관리자 페이지의 편의성을 개선했습니다. 기본설정, QA설정, 로그인, 방문자, 쇼핑몰설정 테이블에 pk auto_increment를 추가하여 데이터베이스 관리를 용이하게 했습니다. 또한, 관리자 xss 체크 alert 발생 빈도를 줄여 관리자의 업무 효율성을 향상시켰습니다.

5.5.14 버전에서 변경 사항 및 링크

 

버전 5.5.14 수정
https://github.com/gnuboard/gnuboard5/commit/baa114c471888ab1ac8f5227c2f693c7321fe21b

쇼핑몰 결제시 결세수단 체크 과정 추가
https://github.com/gnuboard/gnuboard5/commit/2bfd995e49561a489429b23ddf31403a22c4f73d

DB 업그레이드시 기본설정,QA설정,로그인,방문자,쇼핑몰설정 테이블에 pk auto_increment 추가
https://github.com/gnuboard/gnuboard5/commit/1e72d7e81c404822a05f6af495e9efed630f259b

Fix/db (#311)
https://github.com/gnuboard/gnuboard5/commit/47e243c0ad73d5c3040ca062e461653cc95e7285

글쓰기 sql query 에 별칭 as 추가 #309
https://github.com/gnuboard/gnuboard5/commit/bf6678e036ecffe55662328cf99664690543c433

쇼핑몰 모바일 상품 리스트 페이지에서 불필요한 변수 제거 #308
https://github.com/gnuboard/gnuboard5/commit/aba7d75de6e364e8b6226f8cf6a29064a80c6525

관리자 xss 체크 alert이 너무 자주 발생하는 문제 #301 수정
https://github.com/gnuboard/gnuboard5/commit/474fc8f9a90feb4750ae4aac90d02f799d0a6fab

[KVE-2024-0023] 답변이 달린 상품문의글 수정가능 취약점 수정
https://github.com/gnuboard/gnuboard5/commit/a0eb804918d050cf8cdbfeb51b9b0fa310c5aab0

[KVE-2024-0022] 쇼핑몰 사용후기 별점 조작 취약점 수정
https://github.com/gnuboard/gnuboard5/commit/0d9c773d227a7bb8a5b7717f24a813a716012111

[KVE-2024-0021] Stored XSS 취약점 수정
https://github.com/gnuboard/gnuboard5/commit/6705d014f9c2c39cc8ae0acc3b53cf9e3dada2ae

G5_USE_SHOP 상수가 false 시 기본테마 로그인에 warning 경고문이 나오는 문제 수정
https://github.com/gnuboard/gnuboard5/commit/985546fbadc5d8a0dbfc714056e1a14f2181ec7f

게시글 복사시 첨부파일 변수명값이 초기화가 안된 오류 수정
https://github.com/gnuboard/gnuboard5/commit/fa6aa881def6ed5b38e91d589404cc46a7f97088

그누보드(영카트) 5.5.14 버전 업데이트 방법

그누보드(영카트) 공식 홈페이지에서 아래 해당하는 최신 버전의 파일을 다운로드합니다.

 

• gnuboard5.5.14.zip (11.8M)
• gnuboard5.5.14.tar.gz (10.2M)
• gnuboard5.5.14.patch.zip (87.3K)

1. 그누보드(영카트) 공식 홈페이지에서 최신 버전의 파일을 다운로드합니다.
2. 다운로드한 파일을 웹사이트의 루트 디렉토리에 업로드합니다.
3. 업로드가 완료되면 웹사이트의 주소를 입력하여 웹사이트에 접속합니다.
4. 웹사이트 화면 하단에 나타나는 알림 메시지에서 "업데이트" 버튼을 클릭합니다.
5. 업데이트가 완료되면 웹사이트 화면 상단에 나타나는 알림 메시지를 확인합니다.

이렇게 하면 그누보드(영카트) 5.5.14 버전으로 업데이트가 완료됩니다.

 

 

그누보드 최신버전 다운로기

 

 

출처: SIR

 

그누보드(영카트) 5.5.13, Union based SQL injection 취약점 등 보안패치