[Outdated]: █ █ Aggiornamento Coppermine 1.4.22 █ █ [Outdated]: █ █ Aggiornamento Coppermine 1.4.22 █ █
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

[Outdated]: █ █ Aggiornamento Coppermine 1.4.22 █ █

Started by Davide Renda, April 30, 2009, 06:39:41 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Davide Renda

Il team di sviluppo Coppermine rilascia un aggiornamento di sicurezza per colmare una vulnerabilità recentemente scoperta. E' importante che tutti gli utenti della versione 1.4.21 o precedenti aggiornino all'ultima versione al più presto.

Come aggiornare:
Gli utenti di versioni precedenti alla 1.4.22 dovranno aggiornare immediatamentescaricando l'ultima versione dalla pagina download e seguendo la documentazione al riguardo.
Per coloro i quali desiderino applicare unicamente un fix manuale alla propria installazione Coppermine, apritedocs/showdoc.php e rimpiazzate:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);

con le seguenti linee di codice:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);


Supporto:
Se incontrate problemi con questo aggiornamento, utilizzate il forum di supporto Update (in inglese) o questo stesso forum per chi non ha confidenza con l'inglese.

Perché di questo rilascio?
Questo rilascio copre una possibile vulnerabilità recentemente scoperta che potrebbe permettere ad un utente di lanciare un attacco XSS (thread in inglese).

Inoltre, Coppermine 1.4.22 include altri fix non direttamente relativi alla sicurezza:

  • Termine dei ban temporanei erroneo a causa dell'ora non corretta
  • Aumento della lunghezza massima delle password da 8 a 25 caratteri

Grazie a Gerendi Sandor Attila che ha scoperto la vulnerabilità e aNibbler per aver codificato il fix.


grazie,
The Coppermine Team

Davide Renda

Come sempre, gli utenti del Modpack di Stramm dovranno, per il momento, limitarsi ad applicare il fix manuale in attesa del rilascio della nuova versione.

Davide Renda