XETOWN

자유광장

하소연

XE 실망입니다

조회 수 450 추천 수 1 댓글 41
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기

약 한 달 전에 깃허브에다 보안 취약점을 6개가량 제보했었는데 다음 패치때 제보자 이름에선 쏙 빼서 올리더군요.

아니 이럴거면 뭐하러 오픈소스 프로젝트를 하는겁니까?

적어도 기여(제보)한 사람 이름정도는 적어줘야 예의 아닙니까?

 

작년말쯤이였나 올해 1분기 쯤이였나 예전에 XE공식메일로 일반 회원이 글삭제 트리거를 우회한 글 삭제 제보를 하였는데 아직도 해결이 안되어있더군요.(이 취약점을 이용하면 유저가 글 삭제를 해도 포인트가 줄어들지 않고 관련 모듈에서 글 삭제시 일어나야 할 함수가 실행되지 않습니다.)

그 때 이후로 깨닳은게 메일로 보내선 쳐다도 안보는가 싶어서 그냥 깃허브에다 올리고 있습니다.

 

요즘 초딩들도 그런 취약점 찾는거 그런걸로 푼돈따위 바라는거 아닙니다.

그냥 해당 이슈가 적용되면 제보자 이름이나 올라가길 바라고 취약점 찾고 올리는건데 제보자명은 쏙 빼놨더군요.

단순 버그제보정도면 그렇다 쳐도 어떤 사람은 제보자 이름을 올리고 어떤 사람은 안 올리고 차별하는건가요?

아니면 취약점을 발견했으면 제가 뭐 떠먹여까지 줘야만 제보자 이름으로 올라가나요?

 

엎에서도 말했다시피 이럴거면 뭐하러 오픈소스 프로젝트를 합니까.

아니면 뭐 이런식으로 XE에 대해 적을 양산해서 빨리 XE1망하길 바라고 하는건가요?

참 이해하기 어렵네요.

  • profile
    fromthere 2017.06.13 16:01:05
    패치도 나오기 전에 보안이슈를 공개하셨으면서 제보자 이름이 적히길 바라는건 아니라고 생각합니다. 비록 저번 글삭제 이슈처럼 큼직한 이슈는 아니였지만 충분히 악용이 가능했으니까요...

    참고로 XE는 보안 취약점 신고 포상제를 운영하고 있습니다. https://www.xpressengine.com/security_bounty_program
  • ?
    후하니 2017.06.13 16:06:59
    예전에 글삭제 취약점 제보한 분도 깃허브에 올리고 90만원인가 보상안내 메일 받으셨다고 합니다.

    그리고 위에서 언급한 취약점 xe상태를 보아하니 말하지 않으면 한 5년이 지나도 썩혀있을 것 같은데요.
    예전에 취약점 하나 메일로 보냈었는데 제대로 쳐다보지도 않아서 신경질나 글 써 봅니다.
  • profile
    기진곰 2017.06.13 16:20:13

    예의를 따지는 거라면... 누구나 다 보는 깃허브에 보안취약점을 올리는 것도 예의는 아니지요.

     

    XE 정도 규모의 프로젝트를 운영하는 분들이 메일주소를 공개해 놓으면

    중요한 보안취약점뿐 아니라 개발과는 전혀 상관이 없는 별의별 질문, 항의, 잡다한 메일이 다 들어옵니다.

    그런 쓰레기와 함께 분류되지 않도록 최소한의 노력은 하셨는지요? 신고양식도 있고 다 있는데...

    깃허브에서 하시는 것처럼 PoC 소스 한 줄 휙 던져놓고 가신 건 아니고요?

     

    일반 버그든 기능개선요청이든 보안취약점이든 내가 기울인 노력과 내가 보인 예의만큼 내 앞으로 돌아옵니다.

    XE 개발팀이 잘 하고 있다고 변호하려는 것은 아닙니다만 (저는 XE 개발팀이 아닙니다)

    초딩들도 찾는 취약점을 초딩이 아닌 분이 찾으셨다면 초딩보다는 좀더 성의있게 제보해 주시면 좋겠네요.

    아무렇게나 휙 던져 놓은 이슈까지 일일이 인정해 드리는 것이 오픈소스의 본질은 아니니까요.

  • ?
    후하니 2017.06.13 16:30:30
    저번에 신고 했는데도 그냥 대충처리하길래 아주 엄청나고 궁극적인게 아니면 쳐다보지도 않는구나 싶어서 깃허브에다 올리고 있습니다.
    취약점 제보도 뭐 거창하게 서론본론결론 요약 개인생각 등.. 거창하게 적어달라는건가요
    똥싸러간다고 그냥 똥싸러간다고 하면 누구나 알아들을걸 그렇게 굳이 적을 필요가 있나요?

    역시 저런건 취약점 축에 끼지도 못하는가보군요 알겠습니다.
  • profile
    기진곰 2017.06.13 17:09:58

    사소한 것도 제보자 이름, 취약점 번호 다 붙여서 정식으로 릴리즈 노트 나옵니다.
    제보자 이름이 누락되거나 잘못 들어갔다고 알려주면 고쳐서 다시 나옵니다.

    어디를 어떻게 고쳐야 하는지 패치까지 첨부해서 취약점 신고해 보신 적 있나요?
    패치할 부분의 현재 작동 방식에 의존하는 다른 모듈 사용자들까지 고려해 보신 적 있나요?
    실제로 문제를 해결하는 데 실질적인 도움을 주지도 않고 해킹방법 소스나 올리면서
    자꾸 일거리만 투척하는 사람에게도 넙죽넙죽 감사합니다 라고만 해야 하나요?
    단지 오픈소스라는 이유만으로 다 받아줘야 하나요? 오픈소스가 거지인가요?

    오픈소스 들먹이고 싶으시면 실력이 있으신 만큼 참여를 하세요.
    오픈소스는 공동 집주인이 되어 주인의식을 갖고 화장실 청소하는 일이지
    남의 집에 쓱 들어가서 똥만 싸고 나오는 거 아닙니다.

  • ?
    후하니 2017.06.13 17:14:30
    애초에 프로그램 설계상 미스로 인해 이런 취약점이 발견된거 아닙니까?
    참 뭐 엄청 거창한걸 바라는군요.

    그리고 취약점을 똥에 비유하시니 참..
    똥으로 살인무기라도 만들어 봐야 그때서야 정신 차리시나요.
  • profile
    기진곰 2017.06.13 17:31:22

    똥 얘기는 님이 먼저 하신 거고요 ㅎㅎ

    오래 전의 프로그램 설계 미스가 현재 XE 유지보수 팀(이라고 읽고 사실상 파트타임 한 사람, 네이버 직원도 아님)이 도의적 책임이라도 져야 할 일인가요? zero님도 나가고 sol님도 나가고 역대 프로젝트 리더들 다 나갔습니다. 남은 사람이 전생에 무슨 죄를 지었길래 오픈소스 참여랍시고 예의없게 구는 사람들 응석까지 다 받아줘야 하나요?

    네, 거창한 요구 맞습니다. 판매자에게 감놔라 배놔라, 내가 니 월급 주는 거라고 당당하게 갑질하는 소비자의 역할에 익숙해진 현대인에게 판매자의 입장에 좀 서 보라고 하는 것은 꽤 무리한 요구이지요.

  • ?
    후하니 2017.06.13 17:44:45
    똥을 너무 함부로 보면 안되죠. 위생에 문제 생깁니다.
    전 적어도 이렇게 하면 똥이 생긴다는 경고정도로 적었을 뿐입니다.
    제가 그렇게 고분고분한 사람이 아니라서 또 메일 시덥잖게 응답오고 반쪽짜리로 해결되는걸 또 보고 싶지는 않네요 ㅠㅠ

    이런식으로 분류가 된다면 그냥 로봇 갇다놓는게 낫지 않나요?
    돈을 받고 일을 하면 그 정도는 감안하고 있어야 하는거 아닐까요.
    인건비 아깝습니다.

    그리고 두 번째 문단에선 저의 오해일 확률이 높겠지만 뭔가 보안을 하찮게 보는 것 같이 느껴집니다.
    그렇게 거창한걸 하지 않는다면 제보자 안 올려준다니.. 이런걸로 여기까지 댓글다는 저도 한심하네요 ㅠ
  • profile
    람보 2017.06.13 17:48:25
    보안패치에 대해서 공개적으로 이렇게 하면 니네보안 털림이라고 해커한테 방법을 알려주는 형태를 만드신것이 잘못이라는 말씀이신것 같네요.

    저번에 2083 이슈에서 제가 그 방법을 발견하고 거기에 댓글로도 보안이슈는 따로 메일이나 안보이는곳으로 제보하라고 댓글을 같은날 새벽에 달아드린것 같은데 또 공개적으로 깃허브에 소스 달랑 적고 가셨더라구요..

    아무리 찾기 힘들고 좋은 보안 취약점제보라도 어떻게 하느냐에 따라 다른겁니다.

    그렇게 전달하면 코어 업데이트를 진행하지 않은 사용자들도 미처알지 못햇던 방법이 있으니 이걸로 해킹해야지 하는 사용자들도 생길수도 잇는거고요...
  • ?
    후하니 2017.06.13 17:51:12
    그렇게 심각한 문제라면 예전에kl**라는 분이 이슈 올리신 것이 숨기거나 파기처리 되었을거라 생각합니다.

    그냥 냅두는걸 보면 xe팀에서도 크게 별 생각 없었을거라 생각해봅니다.
  • profile
    람보 2017.06.13 17:57:05
    반대로 생각해보세요.

    전 님이 발견한 이슈에 대해서 해결방안을 먼저 확인하고 그날 새벽에 BNU님에게 전달 했는데 패치 제공자 이름에도 안올랐어요.

    그래도 뭐 서운은 하지만 그런가보다 하고 넘어가요.

    단순히 누가 올린이슈에 대해서 XE팀이 대응이 이렇더라 저렇더라 이런걸 다 떠나서 거기에 앞으로의 보안패치제보에 대한 내용을 메일로 전달해주거나, 제보시스템을 이용해서 제보하시던가 그렇게 하셨어야 한다는 거예요.

    단순히 코드 몇자 적어주고 사라지면 누구도 그렇게 달가워하지 않죠.

    그동안 XE에 올리신 보안패치 모두 코드만 적으셨는데 그게 해결하는 방법의 코드가 아니라 이렇게하면 취약점을 이용할 수 있어요! 라고 하는 글이 대부분이였는데,

    오픈소스 운영하는 입장에서는 그 방법이 알려지면 알려질 수록 문제가 되어서 별로 달가워하지 않죠..ㅎㅎ
  • ?
    후하니 2017.06.13 18:10:49
    사실 패치하는건 제가 관리하는 사이트가 아니면 크게 관심은 없어서..
    담에 취약점이 발견되면 메일로 보내보고 응답이나 결과가 영 시원찮게 적용되면 알아서 해야죠.
  • profile
    기진곰 2017.06.13 17:58:18

    "돈을 받고 일을 하면 그 정도는 감안하고 있어야 하는거 아닐까요. 인건비 아깝습니다." 이게 바로 제가 위 댓글 마지막 문단에서 말씀드리고자 했던 문제의 본질입니다.

    보안을 하찮게 보고 싶지는 않습니다만, 요즘 화제가 되고 있는 보안이라는 키워드가 들어갔다는 이유만으로 만사를 제쳐두고 관심을 가져줘야 한다고 생각하지도 않습니다.

     

    자꾸 본질을 비껴가는 논쟁으로 감정 상하는 말만 나오는 것 같아서 저도 여기까지만 하겠습니다.

  • ?
    후하니 2017.06.13 18:16:09
    일단 다음부터 메일로 보내보고 영 대충 처리한다 싶거나 한다면 그냥 있을 생각입니다. ㅠ
    깃허브에 올려서 그런지 그래도 뭔가 이슈 정리되는 것 만큼은 맘에 드네요.

    그리고 사실 서버야 꺼지면 꺼진거지만
    보안이 터지면 어디서 백도어나 웜이 심겨버릴지 모르니 자다가도 벌떡 일어나서 패치를 하거나 진행하던 작업이 어떻게든 미루기가 가능하다면 미루고 바로 보안작업 들어갑니다.
    보안처리작업이 너무 오래걸린다 싶으면 일단 해당 보안이슈관련 기능들은 정지한 상태로 놔두구요.

    물론 서버가 꺼지거나 문제 생겨도 자다가 벌떡 일어나긴 합니다 ㅠㅠ
  • profile
    가이더 2017.06.13 23:05:17
    zero님이 언제 왜나가셨나요?
  • ?
    DoubleCheck 2017.06.14 00:59:54
    나갔다기보다는 회사 내의 다른 프로젝트 하신다고 오래 전에 업무를 이관하신 것 같습니다.
    세월이 꽤나 흘렀네요^^
  • profile
    가이더 2017.06.14 02:13:24
    그럼 네이버에 계시나요?
  • ?
    디이깅 2017.06.13 16:37:38

    포상부분은 내부 기준이 있을 테니 제외하고
    제보자 부분은 깃허브에 공개적으로 올리셔서 안 적은 것 같습니다.

    패치 공지사항에 "XEVE-17-"와 같은 깃허브 이슈는 제보자명이 있습니다.
    후하니님 제보 패치는 깃허브링크가 있으니 제외한 것 같아 보입니다.

    예전에 깃허브에 공개적으로 올리신 것을 보고 왜 그러시나 싶었는데
    메일에 대한 접수 피드백이 계속 없었다면 조금 이해되네요.
    취약점 정도에 따라 처리계획을 어느정도 알려줘야 한다고 생각합니다.

  • profile
    고양이 2017.06.13 17:31:44

    근데 또 보안 취약점이 서버나 사이트 전반에 영향을 줄 수 있는 크리티컬한 문제면 모를까 포인트 정도의 미미한 문제점이라면 깃허브에라도 올려서 최대한 빠르게 처리하는것도 괜찮다고도 생각합니다.

    아.. 또 사이트에 따라서 미미한 문제가 아닐경우는또 문제가 되겠네요. 어렵네요.

    후하니님이 애초에 나쁜 의도로 깃허브에 올린게아니라.. 제보가 묵살되고 수정이 반영이 안되어서 답답한
    마음에 올리셨나봅니다.

     

    제보창구가 더욱 더 잘 운영되어서 모두가 만족스런 XE가 되었으면 합니다.

  • profile
    람보 2017.06.13 17:39:18

    전 BNU님한테 코드까지 다 날려드렸는데... 패치제공자이름에 들어가있찌 않았어요.

    https://github.com/xpressengine/xe-core/issues/2083
    제보된 이슈에 대해서 저는 확실하게 보안검사하는 방법으로 BNU님에게 슬랙으로 남겨드렸다죠..

  • ?
    후하니 2017.06.13 18:21:43
    갠적으로 보안 뿐만이 아니라 버그 관련 이슈가 보완이 되어도 제보자나 패치제공자 이름은 적혀있으면 좋겠습니다.
    xe쪽에서 취약점 포상금인가 뭔가 그거때문에 일부로 저렇게 하는지는 모르겠지만 옛날에 비해 뭔가 마음에 들지 않는군요.
  • ?
    기븐 2017.06.13 18:00:41
    근데 위에도 다른 분이 이미 말씀하셨지만 패치내역에 깃헙 제보 링크가 있어서 따로 명시 안 한거 아닌가요? 해당 링크 눌러보면 이슈 등록한 사람으로 님 아이디가 바로 나오는데...
  • profile
    기진곰 2017.06.13 18:07:12
    예전 버전들을 보면 깃허브에 다 나오더라도 제보자나 패치 제공자의 아이디를 따로 한 번 더 적어주곤 했습니다. 예의의 문제를 떠나서 후하니님이 누락된 것은 맞아요.
  • profile
    구미호 2017.06.13 19:15:01
    이런 모습을 보니 전부다 안좋게만 보입니다
    이제는 그만 하시고요 다 잘할수는 없으니...
    저도 조금 XE에 대한 불만은 있지만 이렇게라도 사용할수 있도록 해주시는것에 만족하고 고마워 하고 있습니다 그리고 우리가 서로 XE 라는것으로 잘되자고 이러는 것으로 알고 있습니다
    조금만 뒤로 가시여 봐주세요 ㅎㅎㅎ 나야나도 빡신데....
  • profile
    socialskyo 2017.06.13 21:04:34

    좋은 의도 인건 아는데 윗분들  위엣분들이 이유 없어 저러는거 아닙니다. 그만해라 마라 까지는 안하시고 그냥 지나가셔도 됩니다.

  • profile
    구미호 2017.06.13 21:08:02

    socialskyo님 "윗분들" 이라고 하니 뭔가 멀게 느껴지는군요 제가 아랫사람 같다는...
    뭔가 제가 주접을 떠는것 같고 "니가 나서기는" 이런 느낌이 들군요 ㅎㅎ
    알았습니다
    다음에는 그냥 지나가도록 하겠습니다
    글수도 줄이도록 하죠

  • profile
    기진곰 2017.06.13 21:13:37

    "저 위에 글 쓴 놈들"이라는 뜻으로 그 단어를 쓰신 것 같은데요... ㅠㅠ

  • profile
    구미호 2017.06.13 21:17:03

    저는 순간 회원들을 아주 낮추어 보는 것 같은 느낌을 받았습니다
    제가 운영하는 사이트는 나이가 많은 분들이 많으세요 저는 한번도 회원분들에게 이렇게 이야기 한적이 없습니다 회원님들 이렇게 말씀을 드리고 항상 제가 낮추워 운영 하는 편 입니다
    그렇게 운영하다 보니 위글이 아주 그러네요 그리고 뭔가 "너는 나서지 말아라 사이트나 서버나 잘 모르면" 이런 느낌 이랄까요 ㅎㅎ

    사실 전에도 이런 느낌을 받았는데 이번에는 확실해젔습니다 

    그동안 고마워서 다시 댓글좀 달아봤습니다 

    그냥 지나가시면 됩니다 저도 이정도만 할께요 눈팅이나 해야 할것 같습니다 

    너무 오지랍 이였네요 ㅎㅎㅎㅎㅎㅎㅎ

    ps: 분위기 파악을 못한 것이  제가 잘못한거죠

  • profile
    socialskyo 2017.06.13 21:25:01

    오타는 수정했습니다. "윗분들"은
    위(above) 라는 의미였고 높은분이라는 grade 개념의 의미는 아니었습니다. 오해 없으셨으면 합니다. 

     

  • profile
    구미호 2017.06.13 21:27:36
    오해가 없을수가 있나요 전체 글쓴 내용하고 문맥이 일치하는게 느껴지는되요 ㅎ
    그렇게 안하셔도 됩니다 제가 분위기 파악을 못한거죠 ^^;;
  • profile
    socialskyo 2017.06.13 21:28:45

    네. 저도 이해합니다.

  • profile
    오징 2017.06.13 21:29:28

  • profile
    기진곰 2017.06.13 21:31:36

    그러게요... 여기서는 그냥 socialskyo님이 표현을 이상하게 했다 정도로 넘겨주시고요 ㅠㅠ

    혹시 제가 위에서 후하니님과 주고받은 내용마저 마음에 걸리신다면 저도 표현을 잘못했군요. 아무에게나 패치 작성이나 고도의 기술적인 기여를 요구하지 않습니다. 분명 더 높은 레벨에서 기여할 수 있는 실력을 갖춘 사람이 소스 한 줄만 휙, 그것도 당장 해킹에 사용할 수 있는 소스를 던져놓고 "막을 테면 막아봐라"라는 식으로 개발팀을 아랫사람 취급하는 것이 못마땅해서 험한 말이 나온 것이고, 그렇지 않은 분이 버그를 신고하신다면 어디가 어떻게 불편한지 일상적인 말로 설명해 주시기만 해도 감사하지요.

  • profile
    구미호 2017.06.13 21:46:59

    음... 이제 기진곰님 하고 이야기가 됩니다 제가 여기 가입을 하고 얼마후에 적은 글 입니다
    https://www.xetown.com/square/485979
    이글을 적은 이유가 제가 사이트 운영을 하면서 느낀점이 있어서 입니다
    저는 이곳이 조금 항상 멀게만 느껴집니다 조금 빡빡하다 할까요...? 가끔
    제가 위에 적은 글 저도 분위기를 보니 다른일반 회원분들도 안적고 있기에 댓글을 안적을려고 하다가 그래도 누구하나 피드백 안주는 것을 주는것 만으로 저는 고마을것 같아서요
    이런것으로 서로 각을 세우시는게 좋아 보이지 않아서 무리해서 댓글 달았습니다
    아 그리고요 나야나도 안그래도 안좋은 상황이다 보니 오늘 따라 더 그렇게 보이더군요 ㅎㅎ
    저도 호스팅 이용하는 사이트가 몇개 있거든요 ㅠㅠ 그래서 나야나가 남일 같지 않기도 하구요
    아무튼 이번 일로 제가 이곳 운영자분들 분위기나 성격등등 알것 같아요
    저도 이정도만 할께요 눈팅mode로 들어갈께요 ㅎㅎ

    회원 하나 눈팅으로 돌아가는거 너무 신경 쓰지 마시구요 ㅎㅎ;;

  • profile
    socialskyo 2017.06.13 22:02:44
    안써요. ㅎㅎ
  • profile
    기진곰 2017.06.13 22:07:01
    네, 안 그래도 요즘 별로 좋은 상황이 아닌데 눈쌀 찌푸리게 해드려서 죄송합니다. 시간이 지나서 생각해 보니 위에 글 쓰신 분과는 개인적으로 해도 될 얘기를 공개적으로 싸질러 버렸네요. 이것이 다른 사람에게는 어떤 인상을 주는지 날카롭게 지적해 주셔서 감사합니다.
  • profile
    가이더 2017.06.13 20:56:27
    저는 이정도만 사용하는 것에도 감사하고 행복해 하고 있습니다. 모두들 감사합니다.
  • profile
    android 2017.06.14 02:51:08
    중대버그는 공개적으로 올리면 큰일납니다,그래서 나야나가 털린겁니다.
  • profile
    구미호 2017.06.28 00:32:21
    나야나가 이번에 중대버그를 공개적으로 올려서 털렸군요 오늘 처음 알았내요
  • profile
    December 2017.06.14 13:36:24
    android 님 , 절대 공감입니다.
  • profile
    BNU 2017.06.27 15:04:20
    이 글을 이제서야 발견합니다.
    천천히 읽어보겠습니다.

서버에 요청 중입니다. 잠시만 기다려 주십시오...