제로보드 4.1 pl8 보안패치

일전 download.php의 sql injection 문제에 대해 패치를 하면서 띄워쓰기를 잘못하여 다운로드 동작이 정상적으로 되지 않던 문제가 발생하였습니다.
많은 분들이 통보를 해주셨는데 제가 미처 확인하지 못하고 있다가 이제야 수정된 파일을 올립니다.
너무 죄송합니다.

그리고 zboard.php, _head.php, member_memo3.php 파일에서 $s_que변수가 별도의 초기화 없이 사용되어 역시 SQL injection 보안 버그가 있음을 알려주셔서 lib.php 에서 $s_que변수를 초기화하도록 수정하였습니다.

첨부된 20070509.patch.zip 파일의 압축을 풀면  download.php, lib.php 2개의 파일이 나오는데 이를 기존 사용하시던 제로보드에 덮어써주시면 됩니다.

다운로드 패치 오류 신고해주신 이동하님과 $s_que변수를 이용한 취약점을 알려주신 조주봉님, 그리고 관련된 모든 분들께 감사하다는 말씀드립니다.

url : http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=56

download.php 파일의 경우 기존에 문제 있던 SQL 쿼리 부분에 띄어쓰기 부분이 삭제 되었으며, 자세한 내용은 위에 '다운로드 패치 오류 신고' 링크를 클릭하시면 보실 수 있습니다.

lib.php 파일의 경우 39-41 라인에

unset($s_que);
$select_arrange = str_replace(array("'",'"','\\'),'',$select_arrange);
if(!in_array($desc,array('desc','asc'))) unset($desc);

다음의 내용이 추가되었습니다.