Coppermine 1.4.14 Mise à jour de sécurité

[François Keller]

Coppermine 1.4.14 - Mise à jour de sécurité
L'équipe de développement mets à disposition une mise à jour de sécutité pour Coppermine afin de contrer une vulnérabilité XSS récemment découverte. Il est important que tous les utilisateurs de Coppermine 1.4.13 ou d'une version plus ancienne mettent à jour leur galerie le plus rapidement possible.

Pour corriger manuellement la faille de sécurité, vous pouvez appliquer le correctif comme mentionné ci-dessous. Notez que le fait de corriger manuellement ne se substitue pas à une mise à jour complete, d'autres corrections ayant été ajoutées à cette version cpg1.4.14 .

Correction manuelle (non recommandée) :
Pour corriger manuellement cette faille, éditez displayecard.php, trouvez
Code:

foreach($data as $key => $value) $data[$key] = html_entity_decode(strtr($value, $HTML_SUBST));

et remplacez par
Code:

foreach($data as $key => $value) $data[$key] = strtr($value, $HTML_SUBST);



Les corrections suivantes ont été ajoutées à cette version

    * 2007-11-07 mise à disposition de cpg1.4.14
    * 2007-10-31 enlèvement de html_entity_decode causant une potentielle vulnérabilité XSS comme discuté dans le sujet http://forum.coppermine-gallery.net/index.php?topic=47390.0 (uniquement pour les devs)
    * 2007-09-17 correction du bug sur les groupes d'utilisateurs avec le bridge SMF 2.0 (contribution d'utilisateur)


comment mettre à jour:
Pour mettre a jour n'importe quelle version de Coppermine vers la version 1.4.14, téléchargez la dernière version depuis la page de téléchargement et suivez les étapes décrites dans la documentation.

Si vous deviez avoir un problème avec la mise à jour, ouvrez un nouveau sujet sur ce forum. Ne postez pas vos problèmes à la suite de ce post d'annonce.

Merci à Nicolas Le Gland qui nous a fait part de cette faille de sécurité et par là même nous a permis de la corriger rapidement.

Joachim Müller (aka GauGau)
- Coppermine project manager -

ce post est une traduction de l'annonce initiale