워드프레스 SVG 플러그인 Safe SVG 보안 업데이트
Safe SVG는 워드프레스에서 SVG 파일의 업로드를 가능하게 하는 플러그인입니다. 이 플러그인을 사용하면 사이트에 영향을 미치는 SVG/XML 취약점을 방지하면서 SVG 파일을 업로드할 수 있습니다. 미디어 라이브러리에서 업로드된 SVG 파일을 미리볼 수 있는 기능도 제공합니다.
이 플러그인은 SVG 파일을 새니타이즈(Sanitise)하여 새니타이즈되지 않은 파일 업로드로 인한 보안 문제를 예방한다고 합니다. Safe SVG의 유료 버전에서는 SVGO 최적화와 SVG 파일을 업로드할 수 있는 사용자들 제한하는 기능을 제공합니다.
Safe SVG 플러그인은 약 10만 개가 넘는 사이트에 설치되어 사용되고 있습니다. Safe SVG의 1.9.4 이하 버전에서 서비스 거부 공격(Denial of Service) 취약점이 발견되어 며칠 전에 보안 문제가 패치된 버전으로 업데이트되었습니다. 하지만 오늘 체크해보니 이 플러그인이 워드프레스 저장소에서 일시적으로 제거되었다고 표시되고 있네요.
이 플러그인은 2019년 11월 6일에 일시적으로 제거되어 다운로드할 수 있으며 현재 검토 중이라고 합니다. Safe SVG 플러그인을 사용하는 경우 보안을 위해 플러그인을 제거하고, 보안 문제 검토가 완료되어 워드프레스 저장소에 다시 등록될 때까지 기다리는 것이 바람직합니다.
대체 플러그인으로 SVG Support라는 플러그인이 있습니다. 이 플러그인은 현재 30만 개 이상 사이트에서 활성화되어 있으며, 미디어 라리브러리에서 SVG를 지원하도록 하고 간단한 IMG 태그를 사용하여 SVG 파일의 코드를 쉽게 임베드(Embed)할 수 있는 기능을 제공합니다.
워드프레스에서는 이제 업로드하기 전에 SVG 파일에 <xml> 태그를 포함하도록 요구합니다. 업로드를 시도할 때 보안 오류가 발생하는 경우 코드 에디터(예: sublime text)에서 SVG 파일을 열고 다음 라인을 SVG 파일의 첫 줄에 추가한 다음 저장하세요: <?xml version="1.0" encoding="utf-8" ?>
※ 서비스 거부 공격(Denial of Service; DoS)는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다.(출처: 위키피디아)
※ SVG란 - 스케일러블 벡터 그래픽스(Scalable Vector Graphics; SVG)는 2차원 벡터 그래픽을 표현하기 위한 XML 기반의 파일 형식으로, 1999년 W3C(World Wide Web Consortium)의 주도하에 개발된 오픈 표준의 벡터 그래픽 파일 형식이다. SVG 형식의 이미지와 그 작동은 XML 텍스트 파일들로 정의 되어 검색화·목록화·스크립트화가 가능하며 필요하다면 압축도 가능하다.(출처: 위키피디아)
