Rhymix 2.0.10 Release Notes SECURITY

중요한 보안패치입니다. 모든 사용자는 가급적 빨리 업데이트하시기 바랍니다.

라이믹스 1.9.x.x 사용자는 1.9.10 릴리즈를 사용하시기 바랍니다.

업데이트가 곤란한 사정이 있는 경우, 아래의 2가지 변경 내역을 적용하시면 임시조치가 가능합니다.

• 06ac1cd6
• d8eba515

첫 번째 패치는 최소 2012년 이후 판매 또는 배포된 모든 버전의 XE용 알림센터(Pro 또는 Lite) 모듈에도 동일하게 적용해야 합니다. XE용 알림센터는 XE 자료실에 업데이트된 3.0.9 버전을 사용하시면 됩니다. 두 번째 패치는 라이믹스에서 비교적 최근에 추가된 기능과 관련이 있으므로, XE용 알림센터에는 적용되지 않습니다.

보안취약점 수정

• RVE-2021-1 알림센터의 AJAX 액션을 통해 회원의 아이디와 이메일 주소가 노출될 수 있는 문제 수정
  • @bnu 님이 제보해 주셨습니다.
• RVE-2021-2 알림센터에서 스크랩 알림을 익명 처리하더라도 프로필 사진을 통해 스크랩한 회원을 유추할 수 있는 문제 수정 (#1685)
  • @bnu 님이 제보해 주셨습니다.

개선점

• 문서 업데이트시 extra_vars 필드를 다시 넘기지 않더라도 기존에 저장되어 있던 extra_vars 필드를 보존하록 개선 (#1674)
• 최근 알림센터에 새로 추가된 화면을 서드파티 스킨이 지원하지 않는 경우, 기본 스킨이라도 표시하도록 변경 (#1680)
• CloudFlare IP 대역 정보 업데이트 @YJSoft (#1681)
• 알림센터 수신 설정 팝업 페이지 디자인 개선 (#1682)
• 문서나 댓글에 소속된 파일이 아니더라도 소속 모듈을 관리자 화면에서 볼 수 있도록 개선

버그 수정

• 관리자에게 표시하도록 설정한 디버그 정보가 표시되지 않는 문제 수정 (#1673)
• 알림센터에서 반응형 스킨을 선택하더라도 인식하지 못하는 문제 수정 (#1683)
• 일부 서버 환경에서 이메일 주소 변경을 위한 인증 코드가 정상적으로 기록되지 않는 문제 수정
• 위젯 코드에서 지정한 위젯 스킨이 존재하지 않는 경우 엉뚱한 내용이 대신 출력되는 문제 수정
• 모듈 개발자가 특정 액션에 사용할 수 있는 HTTP method를 제한하더라도 controller 이외의 클래스에서는 적용되지 않는 문제 수정