Текущая стабильная версия - 1.4.26 (stable) (http://"http://prdownloads.sourceforge.net/coppermine/cpg1.4.26.zip?download")
cpg1.4.26 Security release - обязательное обновление! http://forum.coppermine-gallery.net/index.php/topic,63510.0.html (http://forum.coppermine-gallery.net/index.php/topic,63510.0.html)
+ 1 Февраля 2010 Команда Coppermine выпускает обновления для системы безопасности Coppermine в целях борьбы с недавно обнаруженной уязвимостью. Важно, чтобы все пользователи, которые используют версию cpg1.4.25 или ниже, произвели обновление до данной версии как можно скорее.
Как произвести обновление:
Пользователи, использующие версию до 1.4.26, должны немедленно обновиться,
скачав (http://"https://sourceforge.net/projects/coppermine/files/Coppermine/1.4.26%20%28stable%29/cpg1.4.26.zip/download") самую последнюю версию со страницы загрузок (http://"http://sourceforge.net/project/showfiles.php?group_id=89658") и следовать процедуре обновления в документации (http://"http://coppermine.svn.sourceforge.net/viewvc/coppermine/trunk/cpg1.4.x/docs/index.htm#upgrade").
Те пользователи, которые хотят исправить уязвимость вручную, должны:
открыть файл
upload.php,
найти код
echo "<tr><td>{$URI_failure_array[$i]['failure_ordinal']} {$URI_failure_array[$i]['URI_name']}</td><td>{$URI_failure_array[$i]['error_code']}</td></tr>";и заменить его на код
echo "<tr><td>{$URI_failure_array[$i]['failure_ordinal']} ".htmlentities($URI_failure_array[$i]['URI_name'])."</td><td>{$URI_failure_array[$i]['error_code']}</td></tr>"; Поддержка:
Если у Вас возникли проблемы с данным обновлением, пожалуйста, используйте раздел посвященный обновлениям (на английском языке) (http://"http://forum.coppermine-gallery.net/index.php/board,59.0.html"). Пожалуйста, не размещайте ваши сообщения в данной теме - ваши сообщения будут удалены без предупреждения.
Почему была выпущена версия cpg1.4.26?Релиз охватывает недавно обнаруженную уязвимость проверки входных данных, которая позволяет (если не внести исправление) злоумышленнику задействовать собственные процедуры сценария (тема (на английском языке) (http://"http://forum.coppermine-gallery.net/index.php/topic,63488.0.html")).
Кроме того, версия cpg1.4.26 включает в себя исправления для следующих не связанных с безопасностью проблем:
- Внесены дополнения в модуле интеграции vBulletin для отражения изменений с vB3.x до vB4.x
- В менеджере плагинов добавлена проверка требований версии - портированная функция с cpg1.5.x (тема (на английском языке) (http://"http://forum.coppermine-gallery.net/index.php/topic,63279.0.html"))
- Обновлен Итальянский языковый файл
- Исправлена ошибка, связанная с ошибочным отказом в доступе при проверке прав в механизме обрезания/поворота изображений
- Исправлена ошибка, связанная кэширование при использовании механизма веб-публикаций (xp publisher)
- Исправлена ошибка, связанная с созданием альбомов в механизме веб-публикаций (xp publisher) при включенном строгом режиме MySQL (strict mode)
- Исправлена ошибка в модуле интеграции, связанная с созданием альбомов через механизм веб-публикаций (xp publisher)
- Обновлен Немецкий языковый файл (добавлены пропущенные строчки)
- Обновлен модуль интеграции для MyBB до версии 1.4
- Обновлен Чешский языковый файл (вклад пользователя)
- Обновлен Словацкий языковый файл (вклад пользователя)
- Обновлен Итальянский языковый файл (вклад пользователя)
Спасибо Aditya Mooley (http://"http://forum.coppermine-gallery.net/index.php?action=profile;u=5957") за разработку исправления и спасибо Ivan Buetler и команде GESEC за обнаружение уязвимости.
Спасибо,
Команда Coppermine