Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url)

Ludo · March 13, 2009, 09:40:55 AM

Coloro che vogliano proteggersi contro le falle di sicurezza note dalla v. 1.4.20 senza perdere l'uso dei tab BBCode img ed url, troveranno utile questo fix da me elaborato.
Testato personalmente dal sottoscritto, rende inoffensivi gli attacchi menzionati e tutti quelli basati su dati inviati tramite query string dalla pagina delete.php

La patch è compatibile con tutte le versioni di Coppermine a partire dalla 1.4.20; per quelle successive alla 1.4.20 è richiesto il ripristino della precedente versione della funzione bb_decode in include/functions.inc.php, come specificato nel post linkato sopra.
A disposizione per supporto nell'applicazione.

Davide Renda · March 22, 2009, 05:33:02 PM

Particolarmente interessante ed utile per chi utilizza/ha utilizzato i tags nella sua galleria.
Seguo con interesse ;-)

Ludo · March 27, 2009, 04:44:30 PM

Massimo rispetto per gli sviluppatori, ma il rimedio da me escogitato mi pare senz'altro meno rozzo e costoso, in termini di funzionalità della Galleria, di quello accolto nella v. 1.4.21, che tra parentesi incide sull'effetto trascurando la causa. Nel mio primo approccio al problema, avevo dato per scontato l'uso del metodo POST nei moduli che inseriscono o modificano dati, in quanto consolidata pratica di buona scrittura del codice PHP (vedasi la data dell'articolo citato da F.F.), e invece ad una lettura attenta del codice...ecco la falla! Insomma, non c'è alcuna ragione per cui la suddetta patch non sia quantomeno introdotta al volo nella 1.4.21, anche volendo mantenere il pessimo accrocchio che vanifica i tag BBCode img e url (magari lasciando liberi gli utenti di attivarlo o meno)...
Se poi mi si viene a dire che l'accertata soluzione agli specifici exploits in questione potrebbe non proteggere la galleria nei confronti di nuove forme di attacco non ancora note...allora lo stesso avrebbe dovuto valere per ogni e qualsiasi patch ufficiale finora rilasciata, o no?
Un po' di umiltà e spirito open-source in più a volte non guasterebbe...

VEGA · March 27, 2009, 07:20:58 PM

e per fortuna che c'è il sor Ludo

fatte rispettà!!

senti una cosa: quando dici si "declina ogni responsabilità" intendi dire che la modifica è sicura, ma se trovano altri exploit non è colpa tua (giustamente). Te lo chiedo perchè questa tua modifica non l'ho applicata ancora :-\

Ludo · March 28, 2009, 09:14:48 AM

Come vedi, di fronte all'osservazione "Sì, ma sicuramente a breve salteran fuori nuovi exploit" ho lasciato perdere...

Ora ho tolto dal primo post l'inciso in cui declinavo responsabilità per futuri exploit attualmente non noti, proprio per quel che si diceva sopra: la patch serve per difendersi da quelli specificamente indicati come oggetto della v. 1.4.21 e - al contrario di quest'ultima - da tutti quelli attuati tramite query string dalla pagina delete.php, ma del doman non v'è certezza (cit.)

VEGA · March 31, 2009, 12:50:49 AM

.....chi vuol esser lieto sia

e la modifica l'applico pure io. Adesso il primo exploit che si fa sotto...ci spezziam le corn!

Ludo · May 06, 2009, 09:27:56 AM

Testo del messaggio iniziale aggiornato per meglio chiarire che la patch è tranquillamente applicabile a tutte le versioni dalla 1.4.20
Moderatori, che ne dite di mettere il post in evidenza?

Davide Renda · May 06, 2009, 11:46:10 PM

Aggiunto nel topic "FAQ in italiano di Coppermine, trucchi, plugins, hacks, mods, etc..." qui sopra in evidenza.

coppermine-gallery.com/forum

News:

Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url)

Ludo

Davide Renda

Ludo

VEGA

Ludo

VEGA

Ludo

Davide Renda