Version 1.4.6 de Coppermine disponible Version 1.4.6 de Coppermine disponible
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Version 1.4.6 de Coppermine disponible

Started by François Keller, May 21, 2006, 02:55:14 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

François Keller

L'équipe de développement annonce la mise à disposition de la version 1.4.6
Cette nouvelle distribution ne contient pas de nouvelles fonctions (contrairement aux précédentes versions de cpg1.4.x), mais contiens plusieures corrections de problèmes mineurs. Il apporte aussi une solution au problème ".rar"-exploit (qui n'est pas un bug de Coppermine , mais une mauvaise fonction embarquée dans les serveurs Apache qui doit être corrigée). Tous les utilisateurs de Coppermine sont vivement encouragés à mettre à jour leur versions le plus vite possible. Les instructions pour la mise à jour sont inclues dans le pack (voir le fichier index dans le répertoire docs ).

Le nouveau pack contient tous les fichier langues existants à ce jour (comparé à cpg1.4.5, un grand nombre de nouvelles langues ont été ajoutées).

Téléchargez cette nouvelle distributions de cpg1.4.6 ici: http://prdownloads.sourceforge.net/coppermine/cpg1.4.6.zip?download

Comme dit plus haut,  cpg1.4.6 ne corrige pas uniquement la faille de sécurité .rar , mais aussi plusieurs autres problèmes (mineurs), tout le monde devrait donc mettre a jour sa galerie Coppermine. Si vous avez beaucoup modifié votre version de Coppemrine et que vous ne pouvez pas appliquer la mise à jour complête, vous pouvez tout de même appliquer la correction de la faille de sécurité ".rar-exploit". Pour celà, editez include/functions.inc.php avec un éditeur de texte, trouvez


function replace_forbidden($str)
{
  static $forbidden_chars;
  if (!is_array($forbidden_chars)) {
    global $CONFIG, $mb_utf8_regex;
    if (function_exists('html_entity_decode')) {
      $chars = html_entity_decode($CONFIG['forbiden_fname_char'], ENT_QUOTES, 'UTF-8');
    } else {
      $chars = str_replace(array('&amp;', '&quot;', '&lt;', '&gt;', '&nbsp;', '&#39;'), array('&', '"', '<', '>', ' ', "'"), $CONFIG['forbiden_fname_char']);
    }
    preg_match_all("#$mb_utf8_regex".'|[\x00-\x7F]#', $chars, $forbidden_chars);
  }
  /**
   * $str may also come from $_POST, in this case, all &, ", etc will get replaced with entities.
   * Replace them back to normal chars so that the str_replace below can work.
   */
  $str = str_replace(array('&amp;', '&quot;', '&lt;', '&gt;'), array('&', '"', '<', '>'), $str);;

  return str_replace($forbidden_chars[0], '_', $str);
}


et remplacez le par


function replace_forbidden($str)
{
  static $forbidden_chars;
  if (!is_array($forbidden_chars)) {
    global $CONFIG, $mb_utf8_regex;
    if (function_exists('html_entity_decode')) {
      $chars = html_entity_decode($CONFIG['forbiden_fname_char'], ENT_QUOTES, 'UTF-8');
    } else {
      $chars = str_replace(array('&amp;', '&quot;', '&lt;', '&gt;', '&nbsp;', '&#39;'), array('&', '"', '<', '>', ' ', "'"), $CONFIG['forbiden_fname_char']);
    }
    preg_match_all("#$mb_utf8_regex".'|[\x00-\x7F]#', $chars, $forbidden_chars);
  }
  /**
   * $str may also come from $_POST, in this case, all &, ", etc will get replaced with entities.
   * Replace them back to normal chars so that the str_replace below can work.
   */
  $str = str_replace(array('&amp;', '&quot;', '&lt;', '&gt;'), array('&', '"', '<', '>'), $str);;
  $return = str_replace($forbidden_chars[0], '_', $str);

  /**
  * Fix the obscure, misdocumented "feature" in Apache that causes the server
  * to process the last "valid" extension in the filename (rar exploit): replace all
  * dots in the filename except the last one with an underscore.
  */
  // This could be concatenated into a more efficient string later, keeping it in three
  // lines for better readability for now.
  $extension = ltrim(substr($return,strrpos($return,'.')),'.');
  $filenameWithoutExtension = str_replace('.' . $extension, '', $return);
  $return = str_replace('.', '_', $filenameWithoutExtension) . '.' . $extension;

  return $return;
}


Cette distribution de mise à jour de cpg1.4.6 contient bien évidemment toutes les corrections précédentes de la série 1.4.* ainsi que plusieurs problèmes miseurs qui avaient été signalés dans le forum dédié aux bugs. Pour plus de détails, réferez vous au fichier Changelog du pack.

Merci de ne pas utiliser ce post pour des demandes d'aide liées à des problèmes de mise à jour.
Si vous rencontrez un problème avec la mise à jour de votre galerie Coppermine, ouvrez un nouvea sujet sur ce forum (après avoir lu la doc, la FAQ et fait une recherche pour voir si la question n'a pas déjà été posée

Joachim
- Coppermine project manager -

Sujet ititial: http://forum.coppermine-gallery.net/index.php?topic=31671.0
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

Pascal YAP

Bonjour,

   Est-il nécessaire de signaler que ce problème de sécurité ne concerne à priori que les Galeries qui permettent aux Utilisateurs Enregistrés ou aux Visiteurs de télécharger des documents (images, sons, txt, archives ZIP ou TAR.GZ RAR etc)
Les Galeries qui ne possèdent qu'un seul Utilisateur, l'ADMIN ou Webmaster, sont nettement moins exposées. (jusqu'à preuve du contraire)

Pas de panique, Coppermine est robuste, sont sont les Hébergeurs non à jour qui le sont moins  ;D

PYAP