매쉬업에서 비보안 식 바꾸기
Mashup Builder에서 식은 함수 및 위젯 내에서 지원됩니다. 식은 단일 값으로 평가되는 JavaScript 코드의 코드 조각입니다. 일반적으로 식은 매쉬업 응용 프로그램에서 사용자 정의 비즈니스 로직을 만드는 데 사용됩니다. 매쉬업의 위젯, 함수 및 데이터 서비스에 대한 데이터를 유효성 검사, 계산, 변환 및 비교하도록 사용자 정의 식을 작성할 수 있습니다. 함수 이외에 식도 그리드 위젯에서 입력 유효성 검사를 활성화하는 데 사용됩니다.
매쉬업에 대한 편집 권한을 가진 인증된 ThingWorx 사용자가 런타임에 위젯, 매쉬업 함수 및 객체 이외에 DOM도 수정하도록 허용하는 매쉬업 식에서 보안 문제가 발견되었습니다. 이 문제는 매쉬업 런타임 환경으로 제한되며 이로 인해 사용자가 플랫폼 서버에서 원격으로 코드를 실행할 수 없습니다. 보안 수정 사항의 일부로 현재 함수에 대한 대체 함수가 ThingWorx Platform 버전 9.3.2, 9.2.7, 9.1.11 및 9.0.16 이상에 도입되었습니다. 다음은 사용자 정의 식을 지원하며 이 문제의 영향을 받는 위젯 및 함수입니다.
• 식 함수 - 식을 평가하고 값을 반환합니다.
• 유효성 검사기 함수 - 식을 평가하고 부울 true 또는 false 값을 반환합니다.
• 그리드(고급) 위젯 - 입력 유효성 검사에 대한 식을 지원합니다.
지원되지 않는 ThingWorx 버전(8.4 또는 이전 버전)에 대한 다음 레거시 위젯도 영향을 받습니다.
• 식 위젯
• 유효성 검사기 위젯
보안을 향상시키기 위해 ThingWorx Platform 버전 9.3.2, 9.2.7, 9.1.11 및 9.0.16 이상에 다음과 같은 개선된 기능이 도입되었습니다.
• 기존 비보안 함수를 위한 새 표준 및 더 안전한 대체 함수가 추가되었습니다. 매쉬업 응용 프로그램에 미치는 영향을 최소화하기 위해 함수 패널을 사용하여 매쉬업에서 비보안 함수를 수동으로 바꿀 수 있습니다.
최신 표준 버전을 사용하는 것이 좋습니다. 그러나 기존 비보안 함수는 이후 릴리즈에서 제거될 때까지 계속 작동됩니다.
• 새 매쉬업 엔티티에서 비보안 함수를 만드는 기능이 제거되었습니다. 그러나 기존 매쉬업에 비보안 함수를 추가하거나 업데이트할 수 있습니다.
• 최신 보안 유효성 검사기로 전환할 수 있는 부울 속성이 그리드 위젯에 추가되었습니다.
• 그룹화된 기존 비보안 식 및 유효성 검사기 함수는 함수 패널의 안전하지 않음 레이블 아래에 있습니다.
• 그리드 유효성 검사기 이외에 식 및 유효성 검사기 함수에서도 사용하는 식 내의 글로벌
TW.Runtime 함수 및 객체,
jQuery 및 DOM 요소에 대한 액세스가 제한됩니다. 매쉬업 식에서 ThingWorx 런타임 객체 및 함수를 사용하는 경우 비보안 함수를 바꿀 때 수동으로 식을 업데이트하고 확인해야 할 수 있습니다. 지원되는 함수 및 객체에 대한 자세한 내용은
지원되는 런타임 함수 및 객체를 참조하십시오.
|
최신 보안 업데이트가 제공되는 즉시 이를 포함하는 최신 버전의 ThingWorx로 업그레이드하는 것이 좋습니다.
|
영향을 받는 ThingWorx 버전
다음 ThingWorx 지원 버전에서 함수 및 위젯 내에서 식을 사용하는 매쉬업이 이 변경 사항의 영향을 받습니다.
• ThingWorx 9.0.0 ~ 9.0.15
• ThingWorx 9.1.0 ~ 9.1.10
• ThingWorx 9.2.0 ~ 9.2.6
• ThingWorx 9.3.0 및 9.3.1
ThingWorx 버전 9.3.2, 9.2.7, 9.1.11 및 9.0.16 이상부터 JavaScript 식 내의 매쉬업 런타임 객체 및 함수에 대한 액세스가 더 제한됩니다. 이러한 제한은 응용 프로그램 보안을 개선하고 잠재적인 취약성을 줄이기 위해 추가되었습니다.
|
ThingWorx 8.4.x 및 8.5.x와 같이 사용자 정의 식을 지원하는 지원되지 않는 ThingWorx 버전도 영향을 받습니다. 현재 지원되지 않는 ThingWorx 버전을 사용 중인 경우 최신 버전으로 마이그레이션하는 것이 좋습니다. 지원되지 않는 제품 버전을 사용하면 보안 위험에 노출될 수 있습니다.
|