El equipo de Desarrollo de Coppermine ha lanzado la versión 1.4.23. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.
¿Como actualizar?
Descargá la version completa de Coppermine Photo Gallery v1.4.23 (desde aqui (http://sourceforge.net/project/showfiles.php?group_id=89658)) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador. (http://www.tusitio.tld/carpeta-coppermine/update.php)
Para aquellos que quieran actualizar la galería manualmente (No recomendado), abrir el archivo ./include/init.inc.php y busca:
if (ini_get('register_globals') == '1' || strtolower(ini_get('register_globals')) == 'on') {
$register_globals_flag = true;
} else {
$register_globals_flag = false;
}
Y debajo añade las siguientes lineas:
if (is_array($GLOBALS)) {
foreach ($GLOBALS as $key => $value) {
if (!in_array($key, $keysToSkip) && isset($$key) && $register_globals_flag) unset($$key);
}
}
Abre el archivo: ./db_input.php
Y busca: $password = $_POST['alb_password'];
Y reemplazalo con:
$password = addslashes($_POST['alb_password']);
Por último, Abre: ./displayecard.php
Selecciona lo siguiente y eliminalo:
// attempt to obtain full link from db if ecard logging enabled and min 12 chars of data is provided and only 1 match
if ((!is_array($data)) && $CONFIG['log_ecards'] && (strlen($_GET['data']) > 12)) {
$result = cpg_db_query("SELECT link FROM {$CONFIG['TABLE_ECARDS']} WHERE link LIKE '{$_GET['data']}%'");
if (mysql_num_rows($result) === 1) {
$row = mysql_fetch_assoc($result);
$data = @unserialize(@base64_decode($row['link']));
}
}
Soporte Técnico:
Si tienes algún problema y necesitas soporte, no debes contestar acá, debes crear un nuevo tema (Topic) en el Foro de soporte en Español (http://forum.coppermine-gallery.net/index.php/board,55.0.html)
La versión 1.4.23 fue lanzada porque (sin este parche) se podía ejecutar una Inyección SQL (http://en.wikipedia.org/wiki/SQL_injection). (Tema (http://forum.coppermine-gallery.net/index.php/topic,59542.0.html))
Muchas gracias a breath (http://forum.coppermine-gallery.net/index.php?action=profile;u=66460) quién descubrió la vulnerabilidad y a Nibbler (http://forum.coppermine-gallery.net/index.php?action=profile;u=941) que descubrió la solución.
Muchas Gracias,
Equipo de Desarrollo Coppermine,
ModPack de Stramm - Versión para Coppermine 1.4.23 (http://forum.coppermine-gallery.net/index.php/topic,59614.0.html)