Text only | Text with Images

coppermine-gallery.com/forum

Support => Français (French) => Language Specific Support => cpg1.4.x Français (French) => Topic started by: François Keller on November 06, 2007, 06:42:50 PM

Title: Coppermine 1.4.14 Mise à jour de sécurité
Post by: François Keller on November 06, 2007, 06:42:50 PM
Coppermine 1.4.14 - Mise à jour de sécurité
L'équipe de développement mets à disposition une mise à jour de sécutité pour Coppermine afin de contrer une vulnérabilité XSS récemment découverte. Il est important que tous les utilisateurs de Coppermine 1.4.13 ou d'une version plus ancienne mettent à jour leur galerie le plus rapidement possible.

Pour corriger manuellement la faille de sécurité, vous pouvez appliquer le correctif comme mentionné ci-dessous. Notez que le fait de corriger manuellement ne se substitue pas à une mise à jour complete, d'autres corrections ayant été ajoutées à cette version cpg1.4.14 .

Correction manuelle (non recommandée) :
Pour corriger manuellement cette faille, éditez displayecard.php, trouvez
Code:

foreach($data as $key => $value) $data[$key] = html_entity_decode(strtr($value, $HTML_SUBST));

et remplacez par
Code:

foreach($data as $key => $value) $data[$key] = strtr($value, $HTML_SUBST);



Les corrections suivantes ont été ajoutées à cette version

    * 2007-11-07 mise à disposition de cpg1.4.14
    * 2007-10-31 enlèvement de html_entity_decode causant une potentielle vulnérabilité XSS comme discuté dans le sujet http://forum.coppermine-gallery.net/index.php?topic=47390.0 (http://forum.coppermine-gallery.net/index.php?topic=47390.0) (uniquement pour les devs)
    * 2007-09-17 correction du bug sur les groupes d'utilisateurs avec le bridge SMF 2.0 (contribution d'utilisateur)


comment mettre à jour:
Pour mettre a jour n'importe quelle version de Coppermine vers la version 1.4.14, téléchargez (http://sourceforge.net/project/downloading.php?groupname=coppermine&filename=cpg1.4.14.zip&use_mirror=heanet) la dernière version depuis la page de téléchargement (http://sourceforge.net/project/showfiles.php?group_id=89658) et suivez les étapes décrites dans la documentation (http://coppermine-gallery.net/demo/cpg14x/docs/index_fr.htm#upgrade).

Si vous deviez avoir un problème avec la mise à jour, ouvrez un nouveau sujet sur ce forum. Ne postez pas vos problèmes à la suite de ce post d'annonce.

Merci à Nicolas Le Gland qui nous a fait part de cette faille de sécurité et par là même nous a permis de la corriger rapidement.

Joachim Müller (aka GauGau)
- Coppermine project manager -

ce post est une traduction de l'annonce initiale (http://forum.coppermine-gallery.net/index.php?topic=48106.msg230204#new)
Text only | Text with Images