L'équipe de développement de Coppermine publie une mise à jour de sécurité pour contrer une faille récemment découverte. Il est impératif que tous les utilisateurs de cpg1.4.21 ou antérieur mettent à jour leur galerie le plus rapidement possible.
Comment mettre à jour:
Les utilisateurs d'une version antérieure à 1.4.22 doivent mettre à jour immédiatement en téléchargeant (http://downloads.sourceforge.net/coppermine/cpg1.4.22.zip) la dernière version depuis la page de téléchargement (http://sourceforge.net/project/showfiles.php?group_id=89658) et en suivant les les étapes de mise à jour décrites dans la documentation (http://coppermine.svn.sourceforge.net/viewvc/coppermine/trunk/cpg1.4.x/docs/index.htm#upgrade).
Pour ceux qui veulent appliquer la correction manuellement à leur installation Coppermine, ouvrez
docs/showdoc.php et remplacez:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);avec les lignes suivantes:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);Aide:
Si vous avez des problèmes avec cette mise à jour, utilisez ce forum (http://forum.coppermine-gallery.net/index.php?board=38.0). Ne postez pas les questions relatives à vos problèmes à la suite de ce post , mais ouvrez un nouveau sujet. Sinon, votre post sera effacé sans préavis.
Pourquoi la publication de cpg1.4.22 ?Cette mise à jour corrige une faille de sécurité découverte très récemment qui permet (si vous n'avez pas appliqué le patch) de lancer une attaque XSS (http://en.wikipedia.org/wiki/Cross-site_scripting) (sujet (en anglais (http://forum.coppermine-gallery.net/index.php/topic,59237.0.html)).
En plus, cpg1.4.22 inclue les corrections suivantes sans impact de sécurité:
- Correction de la mauvaise expiration du bannissement du à une mauvaise application du time offset (sujet (http://forum.coppermine-gallery.net/index.php/topic,55464.0.html))
- Augmentation le la longueur maximum du champ de mot de passe dans le gestionnaire d'utilisateurs de 8 à 25
Merci à Gerendi Sandor Attila (http://forum.coppermine-gallery.net/index.php?action=profile;u=66021) qui à découvert la vulnérabilité et à Nibbler (http://forum.coppermine-gallery.net/index.php?action=profile;u=941) pour la création du Patch.
Merci,
L'équipe de développement de Coppermine
et le problème des balises BBcode dans les commentaires, c'est résolu ??
MOD PACK de STRAMM version 1.4.22
disponible ici (http://forum.coppermine-gallery.net/index.php/topic,59312.0.html)
Bonjour,
J'ai fais la mise à jour de coppermine ainsi que du MOD Pack. Mais le problème c'est que les newsletters ne fonctionne plus
QuoteIl y eu une erreur lors de l'exécution de la requête
Faut il faire quelques choses en particulier ?