내부적인 테스트도중 Nmail PHP 2.1.8 이하버젼에서 보안문제가 발견되었습니다.
보안문제로 인해 외부의 악의적인 사용자에 의해 피해를 입을 가능성이 있습니다.
따라서 아래 안내 내용에 따라 가급적 신속한 패치작업을 진행하셔야 합니다.
패치전 주의사항)
- 2.1.8 까지 업그레이드후 2.2.0 업그레이드를 적용하셔야 합니다.
: 엔메일 버젼은 웹메일에서 서버관리자(postmaster)로 로그인후 [메일서버관리 - Nmail 정보]에서 확인이 가능합니다.
버젼 구분 방법)
2.1.9.beta1 ~ 2.1.9.beta5 => 2.1.8 로 간주하고 업그레이드하면 됨.
2.1.8b1 ~ 2.1.8b8 => 2.1.7 로 간주하고 업그레이드하면 됨.
- 만약 수정된 소스나 디자인이 있다면 미리 백업받아두시기 바랍니다.
: 특히 디자인의 경우 로그인/메인화면/전체레이아웃이 담긴 'main'스킨은 업데이트되지 않습니다.
: 그외 'webmail'스킨 등을 수정하신 경우에는 꼭 백업받아두시기 바랍니다.
- 유니코드(UTF-8), Oracle 버젼 등의 별도 제품을 구입하신 업체는 이 패치를 적용하시면 안됩니다.
: 사용중인 버젼을 메일( ibin@passkorea.net )로 알려주시면 알맞은 패치를 따로 보내드립니다.
패치방법) Linux/Unix 사용자
1. 아래처럼 패치파일을 다운로드 받아 덮어씌우고, update_db.php를 실행하면 됩니다.
cd /home/nmail2
wget http://www.passkorea.net/nmailphp/nmail-php-patch-2.1.8-to-2.2.0.tgz
tar zxvf nmail-php-patch-2.1.8-to-2.2.0.tgz
php ./tools/update_db.php
2. 웹메일의 [메일서버관리 - Nmail 정보]에서 업그레이드된 버젼을 확인하면 작업이 끝납니다.
패치방법) Windows 사용자
1. [Windows 탐색기]를 실행해서 엔메일이 설치된 폴더( c:\NmailPHP )로 이동합니다.
2. 아래 파일을 다운로드 한 후 '알집'등의 압축프로그램을 통해 '현재폴더에 압축풀기'를 합니다.
: 기존 소스들을 덮어씌우는 작업이므로 덮어씌울꺼냐고 물으면 '예'를 누릅니다.
http://www.passkorea.net/nmailphp/nmail-php-patch-2.1.8-to-2.2.0.zip
3. 엔메일 디렉토리 아래의 tools 폴더로 이동후 cmd.bat 를 실행해 '명령창'을 엽니다.
4. '명령창'에서 아래와 같이 디비 갱신 스크립트를 실행합니다.
php update_db.php
5. 웹메일의 [메일서버관리 - Nmail 정보]에서 업그레이드된 버젼을 확인하면 작업이 끝납니다.
주요 개선사항) 2.1.8 -> 2.2.0
-. [보안]외부의 악의적인 사용자에 의해 피해를 입을 가능성 해결.
-. [도메인관리]서버관리자가 도메인별 'SMTP/POP3/메일포워딩'의 사용제한이 가능하도록 함.
-. [회원관리]'사용여부/SMTP/POP3/메일포워딩' 관리기능 추가.
-. [서버설정]대형포털 등 특정 도메인으로의 메일 포워딩 제한 기능 추가.
-. [바이러스]바이러스가 차단되었다는 리턴메일을 보낼지 여부를 선택할 수 있도록 함. (기본 : 보내지 않음)
세부 개선사항) 2.1.8 -> 2.2.0
-. [수신허용]파일로 내보내기 기능추가.
-. [수신거부]파일로 내보내기 기능추가.
-. [편지읽기]첨부파일 이미지의 가로폭이 화면보다 클때 자동 조절되도록 함.
-. [주소록]가나다 클릭후 '전체'로 되돌아가지 않는 링크 오류 수정.
-. [공용일정/공용주소록]일부 버그 수정.
: 일부 상황에서 사용자가 자신의 공용주소록을 삭제할 수 없던 문제 수정.
: 일반 사용자가 공용일정의 월간일정에서 날짜를 눌러 공용일정을 추가할 수 있던 문제 수정.
=> 공용일정을 추가하려면 개인일정에서 [공용일정 그룹]을 지정하면 됩니다.
-. [다운로드]다운로드할 파일의 크기를 보여주도록 함.
-. [함수]메일주소 체크함수 예외처리 추가.
: id+notes@gmail.com
-. [메일파싱]잘못된 캐릭터셋으로 들어왔을 경우 본문이 보이지 않는 현상을 일부 보완함.
-. [서명관리]잘못된 삭제 링크 수정.
-. [서버설정]HELO 도메인 입력 기능 추가.
: helo domain 과 IP가 일치하지 않을 경우 스팸서버로 오인당하는 경우를 예방하기 위함.
: 웹서버와 메일서버의 IP가 다른 경우 [메일서버관리 - 서버설정]에서 변경해야함.
추신)
이번 패치는 '정품구입업체'를 대상으로 지난주 금요일에 메일로 먼저 패치사실을 알려드렸습니다.
혹시 메일을 못 받으신 '정품구입업체'에서는 ibin@passkorea.net 으로 '업체명/메일주소'를 알려주시면
다음부터 패치안내메일이 발송되도록 해드리겠습니다.