Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url) Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url)
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url)

Started by Ludo, March 13, 2009, 09:40:55 AM

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

Ludo

Coloro che vogliano proteggersi contro le falle di sicurezza note dalla v. 1.4.20 senza perdere l'uso dei tab BBCode img ed url, troveranno utile questo fix da me elaborato.
Testato personalmente dal sottoscritto, rende inoffensivi gli attacchi menzionati e tutti quelli basati su dati inviati tramite query string dalla pagina delete.php

La patch è compatibile con tutte le versioni di Coppermine a partire dalla 1.4.20; per quelle successive alla 1.4.20 è richiesto il ripristino della precedente versione della funzione bb_decode in include/functions.inc.php, come specificato nel post linkato sopra.
A disposizione per supporto nell'applicazione.

Davide Renda

Particolarmente interessante ed utile per chi utilizza/ha utilizzato i tags nella sua galleria.
Seguo con interesse ;-)

Ludo

Massimo rispetto per gli sviluppatori, ma il rimedio da me escogitato mi pare senz'altro meno rozzo e costoso, in termini di funzionalità della Galleria, di quello accolto nella v. 1.4.21, che tra parentesi incide sull'effetto trascurando la causa. Nel mio primo approccio al problema, avevo dato per scontato l'uso del metodo POST nei moduli che inseriscono o modificano dati, in quanto consolidata pratica di buona scrittura del codice PHP (vedasi la data dell'articolo citato da F.F.), e invece ad una lettura attenta del codice...ecco la falla! Insomma, non c'è alcuna ragione per cui la suddetta patch non sia quantomeno introdotta al volo nella 1.4.21, anche volendo mantenere il pessimo accrocchio che vanifica i tag BBCode img e url (magari lasciando liberi gli utenti di attivarlo o meno)...
Se poi mi si viene a dire che l'accertata soluzione agli specifici exploits in questione potrebbe non proteggere la galleria nei confronti di nuove forme di attacco non ancora note...allora lo stesso avrebbe dovuto valere per ogni e qualsiasi patch ufficiale finora rilasciata, o no?
Un po' di umiltà e spirito open-source in più a volte non guasterebbe...

VEGA

e per fortuna che c'è il sor Ludo  :D fatte rispettà!!

senti una cosa: quando dici si "declina ogni responsabilità" intendi dire che la modifica è sicura, ma se trovano altri exploit non è colpa tua (giustamente). Te lo chiedo perchè questa tua modifica non l'ho applicata ancora  :-\

Ludo

Come vedi, di fronte all'osservazione "Sì, ma sicuramente a breve salteran fuori nuovi exploit" ho lasciato perdere...  ::)
Ora ho tolto dal primo post l'inciso in cui declinavo responsabilità per futuri exploit attualmente non noti, proprio per quel che si diceva sopra: la patch serve per difendersi da quelli specificamente indicati come oggetto della v. 1.4.21 e - al contrario di quest'ultima - da tutti quelli attuati tramite query string dalla pagina delete.php, ma del doman non v'è certezza (cit.)  ;D

VEGA

.....chi vuol esser lieto sia  ;D

e la modifica l'applico pure io. Adesso il primo exploit che si fa sotto...ci spezziam le corn!  8)

Ludo

Testo del messaggio iniziale aggiornato per meglio chiarire che la patch è tranquillamente applicabile a tutte le versioni dalla 1.4.20
Moderatori, che ne dite di mettere il post in evidenza?  8) :-*

Davide Renda

Aggiunto nel topic "FAQ in italiano di Coppermine, trucchi, plugins, hacks, mods, etc..." qui sopra in evidenza.