Mise à jour de sécurité: version 1.4.13

[François Keller]

Coppermine 1.4.13 - Mise à jour de sécurité -

L'équipe de développement a mis à disposition une mise à jour de sécurité pour Coppermine afin de contrer une faille découverte récemment. Il est important que tous les utilisateurs de la version cpg1.4.12 ou plus ancien mettent à jour leur installation le plus vite possible.

Pour corriger cette faille de sécurité manuellement, vous pouvez appliquer les corrections ci-dessous. Notez que le fait de corriger manuellement ne se substitue pas à une mise à jour complete, d'autres corrections ayant été ajoutées à cette version 1.4.13.

Correction manuelle (non recommandée) :
Pour corriger manuellement cette faille, éditez include/init.inc.php, et trouvez

Code Select Expand


CPGPluginAPI::action('page_start',null)
ajoutez juste avant (dans une nouvelle ligne)

Code Select Expand

// If referer is set in URL and it contains 'http' or 'script' texts then set it to 'index.php' script
if (isset($_GET['referer'])) {
        if (preg_match('/((\%3C)|<)[^\n]+((\%3E)|>)|(.*http.*)|(.*script.*)/i', $_GET['referer'])) {
                $_GET['referer'] = 'index.php';
        }
}

Editez viewlog.php, trouvez

Code Select Expand


if (!isset($log)) {
        display_log_list();
} else {
               display_log($log);
}

et remplacez par

Code Select Expand


// If log variable not set or log file's directory is not current directory then display logs list else display log with given name stripping risky characters from it
if (!isset($log) || dirname($log) != '.') {
        display_log_list();
} else {
        display_log(ereg_replace('\.|/|%00', '', $log));
Comment mettre à jour:
Pour mettre à jour téléchargez la nouvelle version depuis le site de téléchargement et suivez la documentation.

Si vous avez des problèmes avec cette mise à jour, Utilisez ce forum.


Joachim Müller (aka GauGau)
- Coppermine project manager -
sujet initial http://forum.coppermine-gallery.net/index.php?topic=46847.0