█ █ COPPERMINE 1.4.22 MISE A JOUR DE SECURITE OBLIGATOIRE █ █

[François Keller]

L'équipe de développement de Coppermine publie une mise à jour de sécurité pour contrer une faille récemment découverte. Il est impératif que tous les utilisateurs de cpg1.4.21 ou antérieur mettent à jour leur galerie le plus rapidement possible.


Comment mettre à jour:
Les utilisateurs d'une version antérieure à 1.4.22 doivent mettre à jour immédiatement en téléchargeant la dernière version depuis la page de téléchargement et en suivant les les étapes de mise à jour décrites dans la documentation.
Pour ceux qui veulent appliquer la correction manuellement à leur installation Coppermine, ouvrez docs/showdoc.php et remplacez:

Code Select Expand

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
avec les lignes suivantes:

Code Select Expand

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);

Aide:
Si vous avez des problèmes avec cette mise à jour, utilisez ce forum. Ne postez pas les questions relatives à vos problèmes à la suite de ce post , mais ouvrez un nouveau sujet. Sinon, votre post sera effacé sans préavis.

Pourquoi la publication de cpg1.4.22 ?
Cette mise à jour corrige une faille de sécurité découverte très récemment qui permet (si vous n'avez pas appliqué le patch) de lancer une attaque XSS (sujet (en anglais).

En plus, cpg1.4.22 inclue les corrections suivantes sans impact de sécurité:

• Correction de la mauvaise expiration du bannissement du à une mauvaise application du time offset (sujet)
• Augmentation le la longueur maximum du champ de mot de passe dans le gestionnaire d'utilisateurs de 8 à 25

Merci à Gerendi Sandor Attila qui à découvert la vulnérabilité et à  Nibbler pour la création du Patch.


Merci,
L'équipe de développement de Coppermine

[sanlogik]

et le problème des balises BBcode dans les commentaires, c'est résolu ??

[François Keller]

Non

[François Keller]

MOD PACK de STRAMM version 1.4.22

disponible ici

[soraya95610]

Bonjour,

J'ai fais la mise à jour de coppermine ainsi que du MOD Pack. Mais le problème c'est que les newsletters ne fonctionne plus

Il y eu une erreur lors de l'exécution de la requête

Faut il faire quelques choses en particulier ?

[François Keller]

oui ouvrir un sujet à part 
activez le mode de débuggage pour avoir le message complêt