알려드립니다

GR보드 취약점을 패치하였습니다. (pl6)

시리니
  • homepage
  • 2008.09.16 17:26:40
  • hit: 10610
  • good: 288
한국정보보호진흥원 (이하 'KISA')에서 GR보드의 취약점을 발견하여
저에게 메일을 보내주셨습니다.
현재 발견된 취약점은 개발자 확인이 되면 KISA 측에서 다시 통보해 주신다고 합니다.
이에, 취약점을 전달받은 즉시 패치작업을 시작할 것이며 패치 사항은 GR Board 최신버젼에
반영하여 공개하도록 하겠습니다. (패치만 별도로 해서 같이 공개하고, 별도로 다시 안내해 드리겠습니다.)


현재까지 GR보드 구버젼을 사용중이신 분들은
보다 빠르고 안정적인 GR보드 최신버젼으로의 업그레이드를 권해 드립니다.
GR Board v1.7.8 pl5 에서 곧이어 KISA 에서 제공받은 취약점 정보를 확인하여
GR Board v1.7.8 pl6 (혹은 그 이상 버젼) 으로 보안업데이트를 곧 준비하겠습니다.
이에 사용자 여러분들은 미리 업데이트를 준비해 주시고
계속해서 시리니넷에 방문해 주셔서 최신 보안 업데이트소식을 확인해 주시기 바랍니다.
(오래된 버젼을 사용중이신 분들은 가급적이면 먼저 v1.7.8 pl5 로 업데이트 하신 후, 추후 제공될 패치를
적용해주시는 것이 좋습니다. 보안 패치는 최신 버젼에서만 제공될 예정이며, 이전 버젼에는
지원하지 않음을 알려드립니다. 이 때문에 미리 보안 패치를 공지합니다.)


이번 보안 패치 (예정) 과 상관 없이,
오래된 구버젼의 GR보드를 사용중이신 분들은 아직 시간적인 여유가 있을 때
미리 v1.7.8 pl5 까지 업데이트를 해주시는 것을 강력히 권장합니다.
보안패치가 나온 후에 뒤늦게 관련 작업을 하시게 되면 의도하지 않은 실수 등으로
사이트 관리에 문제점이 생길 수 있습니다. 이 점 다시 한 번 강조드리며
꼭 주기적으로 최신버젼을 확인해 주시는 것을 부탁드리겠습니다.


※ 패치가 공개되었습니다. 링크 #1 을 클릭하셔서 관련된 정보를 확인하신 후
꼭! 패치하시기 바랍니다. 취약점 관련 정보를 보내주신 한국정보보호진흥원 KISA 에 감사드립니다.
앞으로도 발견된 취약점은 가급적 빠른 시일 내로 해결해 나가도록 하겠습니다.
사용자분들께서는 다소 번거로우시겠지만 꼭 패치를 해주시길 바라며 차후 갱신된 보안 패치 정보에도
계속적으로 관심 가져주시길 부탁드리겠습니다. 감사합니다.



▶ 보안업데이트 진행상태

- 2008.09.30 01:35 KISA 측에서 보내주신 취약점 정보를 바탕으로 패치 제작후 공개
- 2008.09.21 01:40 KISA 측에서 답신을 받지 못했다고 해서 다시 답신을 보냄 (보낸지 만 하루 소요중)
- 2008.09.16 17:30 한국정보보호진흥원에서 온 메일을 확인 후 시리니넷에 먼저 공지 (업데이트 대기중)
modified at 2008.09.30 01:31:44 by moderator
modified at 2008.11.10 23:27:27 by moderator
패치,준비해주세요,GR보드,취약점,한국정보보호진흥원,KISA
EveR™ site 2008.09.17 22:28:42 reply
현재 제로보드 자유게시판에 XE와 ZB4가 뚤렸다는 글을 보고 왔습니다. 이거 어찌 좀 불안불안...
시리니 site 2008.09.17 23:39:24 reply
물론 개발자입장에서는 되도록이면 안전하게 하고 싶지만
완벽이라는 말이 허용되지 않는 분야니까요. ^^;
지금은 KISA 측의 회신메일을 기다리고 있는데 아직까지는
감감 무소식이네요... ~_~;;
EveR™ site 2008.09.18 13:41:01 reply
저는 좀 이상하게 생각합니다.
만약 취약점이 발견되였다면...
"어디어디가 이렇게 되여 취약합니다"라고 딱 말해야 하는거 아닌가요.
근데 취약점이 있다 해놓고 깜깜무소식이라는게 이상합니다. 이거 누군가 장난치는거 아닐까요?
modified at 2008.09.18 13:41:17 by EveR™
시리니 site 2008.09.18 23:00:25 reply
오늘 회신메일을 확인했는데 내부 메일서버 정책 변경으로
제가 쓴 답장을 받지 못했다고 하더라구요. 그래서 일단 다시
보내드렸는데 개발자인 저에게 취약점을 수정할 담당자가
누구냐, 전화번호는 어떻게 되느냐, 이런 정보를 굳이 재차
확인해야 할 이유가 무엇인지 도통 모르겠습니다.

발견된 취약점은 수정해야 마땅하고 알려주시는 것은 참
고마운데 뭐랄까, 역시 국가기관 답다고나 할까요...