Coppermine 1.4.13 - Mise à jour de sécurité -
L'équipe de développement a mis à disposition une mise à jour de sécurité pour Coppermine afin de contrer une faille découverte récemment. Il est important que tous les utilisateurs de la version cpg1.4.12 ou plus ancien mettent à jour leur installation le plus vite possible.
Pour corriger cette faille de sécurité manuellement, vous pouvez appliquer les corrections ci-dessous. Notez que le fait de corriger manuellement ne se substitue pas à une mise à jour complete, d'autres corrections ayant été ajoutées à cette version 1.4.13.
Correction manuelle (non recommandée) :
Pour corriger manuellement cette faille, éditez include/init.inc.php, et trouvez
CPGPluginAPI::action('page_start',null)
ajoutez juste avant (dans une nouvelle ligne)
// If referer is set in URL and it contains 'http' or 'script' texts then set it to 'index.php' script
if (isset($_GET['referer'])) {
if (preg_match('/((\%3C)|<)[^\n]+((\%3E)|>)|(.*http.*)|(.*script.*)/i', $_GET['referer'])) {
$_GET['referer'] = 'index.php';
}
}
Editez viewlog.php, trouvez
if (!isset($log)) {
display_log_list();
} else {
display_log($log);
}
et remplacez par
// If log variable not set or log file's directory is not current directory then display logs list else display log with given name stripping risky characters from it
if (!isset($log) || dirname($log) != '.') {
display_log_list();
} else {
display_log(ereg_replace('\.|/|%00', '', $log));
Comment mettre à jour:
Pour mettre à jour téléchargez (http://sourceforge.net/project/downloading.php?groupname=coppermine&filename=cpg1.4.13.zip&use_mirror=switch) la nouvelle version depuis le site de téléchargement et suivez la documentation.
Si vous avez des problèmes avec cette mise à jour, Utilisez ce forum.
Joachim Müller (aka GauGau)
- Coppermine project manager -
sujet initial http://forum.coppermine-gallery.net/index.php?topic=46847.0 (http://forum.coppermine-gallery.net/index.php?topic=46847.0)