█ █ Cpg 1.4.21 MISE A JOUR OBLIGATOIRE █ █

[Pascal YAP]

1.4.21 MISE A JOUR DE SÉCURITÉ

L'équipe de développement de Coppermine publie une mise à jour de sécurité pour Coppermine afin de contrer une vulnérabilité récemment découverte.
Il est impératif que tous les utilisateurs qui utilisent la version cpg1.4.20 mettent à jour leur ancienne version dès que possible.

Comment mettre à jour :
Les utilisateurs de versions antérieures à 1.4.21 devraient mettre à jour immédiatement en téléchargeant notre dernière version depuis la page de téléchargement et en suivant les étapes de mise à jour tel que décrit dans la documentation.
Pour ceux qui veulent appliquer le correctif manuellement la vulnérabilité de leur Galerie Coppermine, lisez le message qui suit (lien).

Support :
Si vous avez des problèmes avec cette mise à jour, s'il vous plaît ouvrez un nouveau sujet sur le forum pour obtenir de l'aide.
Ne postez vos questions dans ce Sujet, votre message sera supprimé sans préavis.

Pourquoi cpg1.4.21 a été publié ?
Cette nouvelle publication couvre une vulnérabilité récemment découverte, qui permet (si sans patchs) à un utilisateur de lancer une attaque CSRF (définition) à l'encontre de votre site Web (milw0rm exploit 8114 et 8115 ). La vulnérabilité est due à la transformation de bbcode tags [ i m g ] et [ u r l ]. L'attaque qui peut être lancé par le biais de ces balises peuvent être de grande envergure et tous les Administrateurs de Galeries Coppermine doivent prendre cette question au très sérieux.
Depuis cpg1.4.x est un script stable, mais l'équipe de développement de Coppermine ne pouvait pas répondre à cette vulnérabilité, sans un grand changement dans la manière dont les formes sont traitées. Donc la solution est de retirer le traitement correct de ces deux balises bbcode, [ i m g ] et [  u r l ]. Ce n'est pas une solution définitive, mais il est nécessaire de remédier à ce grave problème.
L'équipe de développement de Coppermine travaille sur un moyen de traiter ces bbcode (tags) et (post) ici avec plus d'informations. Vous pouvez lire des informations sur la façon dont ces étiquettes sont traitées et la manière de modifier dans votre propre solution dans la documentation des bbcode. L'attaque qui peut être lancé par le biais de ces balises peuvent être de grande envergure et tous les Administrateurs de Galeries Coppermine doivent prendre cette question très au sérieux.


En outre, cpg1.4.21 comprend des correctifs pour de problèmes non liés à la sécurité :

     * Correction de HTML des caractères spéciaux dans les referer pour hit / stats vote (thread)
     * Correction de la conversion "search_phrase" de la matrice de chaîne pour la table 'hit_stats "
     * Correction de «inconnu» dans le domaine du navigateur hit_stats table (thread)
     * Correction de requête non valide dans la limite de "aléatoire" des méta-album, dans certains cas, (thread)
     * Correction de "Sélection de photos privées comme une catégorie aperçu" question (thread)


Merci à Staker au milw0rm qui ont découvert la vulnérabilité.

L'équipe de développement de Coppermine

[Pascal YAP]

Pour appliquer le Correctif manuellement

Pour appliquer le correctif manuellement pour contrer les vulnérabilités CSRF décritent ci-dessus, procédez comme suit.
Toutefois, notez s'il vous plaît que vous ne serez pas à jour complètement en appliquant ce correctif, et les autres corrections de bugs liés à la sécurité inclus dans cette version 1.4.21 ne seront pas appliqués et vous ne serez pas non plus à jour de tout autre correctifs inclus dans les versions précédentes à 1.4.21. A moins que vous n'ayez déjà pratiqué tous ces correctifs à la main.
Il est très fortement recommandé que vous mettiez à jour vers la version 1.4.21 en suivant les instructions ci-dessus.

Remplacez la fonction bb_decode dans le fichier include / functions.inc.php avec le code suivant :

Code:

// Allow the use of a limited set of phpBB bb codes in albums and image descriptions
// Based on phpBB code

/**
 * bb_decode()
 *
 * @param $text
 * @return
 **/

function bb_decode($text)
{
    $text = nl2br($text);

    static $bbcode_tpl = array();
    static $patterns = array();
    static $replacements = array();

    // First: If there isn't a "[" and a "]" in the message, don't bother.
    if ((strpos($text, "[") === false || strpos($text, "]") === false)) {
        return $text;
    }

    // [b] and [/b] for bolding text.
    $text = str_replace("[b]", '<b>', $text);
    $text = str_replace("[/b]", '</b>', $text);

    // [u] and [/u] for underlining text.
    $text = str_replace("[u]", '<u>', $text);
    $text = str_replace("[/u]", '</u>', $text);

    // [i] and [/i] for italicizing text.
    $text = str_replace("[i]", '<i>', $text);
    $text = str_replace("[/i]", '</i>', $text);

    // colors
    $text = preg_replace("/\[color=(\#[0-9A-F]{6}|[a-z]+)\]/", '<span style="color:$1">', $text);
    $text = str_replace("[/color]", '</span>', $text);

    // [i] and [/i] for italicizing text.
    //$text = str_replace("[i:$uid]", $bbcode_tpl['i_open'], $text);
    //$text = str_replace("[/i:$uid]", $bbcode_tpl['i_close'], $text);

    if (!count($bbcode_tpl)) {
        // We do URLs in several different ways..
       
        // **** WARNING *******************************************************
        // The [url] tag can be used for a serious attack against your website.
        // So [url] tags are no longer processed to show links.
        // This simple action here is not an ideal solution but is necessary.
        // Now, [url] tags are processed as follows:
        // [url=link]text[/url] shows 'text' with a dummy image for the link.
        // [url]link[/url] shows 'link' as plain text with a dummy image.
        // The following line is the original line that processed [url]:
        // $bbcode_tpl['url']  = '<span class="bblink"><a href="{URL}" rel="external">{DESCRIPTION}</a></span>';
        // ********************************************************************
        // See this thread on the Coppermine forum for more information:
        // http://forum.coppermine-gallery.net/index.php/topic,58309.0.html
        // Please read this thread carefully before deciding to process [url].
        // ********************************************************************
        $url_removed = '{URL}';  // put the image URL in the tooltip/mouse-over
        $bbcode_tpl['url']   = '{DESCRIPTION}<img src="images/descending.gif" alt="" title="' . $url_removed . '" />';
        $bbcode_tpl['email'] = '<span class="bblink"><a href="mailto:{EMAIL}">{EMAIL}</a></span>';

        $bbcode_tpl['url1'] = str_replace('{URL}', '\\1\\2', $bbcode_tpl['url']);
        $bbcode_tpl['url1'] = str_replace('{DESCRIPTION}', '\\1\\2', $bbcode_tpl['url1']);

        $bbcode_tpl['url2'] = str_replace('{URL}', 'http://\\1', $bbcode_tpl['url']);
        $bbcode_tpl['url2'] = str_replace('{DESCRIPTION}', '\\1', $bbcode_tpl['url2']);

        $bbcode_tpl['url3'] = str_replace('{URL}', '\\1\\2', $bbcode_tpl['url']);
        $bbcode_tpl['url3'] = str_replace('{DESCRIPTION}', '\\3', $bbcode_tpl['url3']);

        $bbcode_tpl['url4'] = str_replace('{URL}', 'http://\\1', $bbcode_tpl['url']);
        $bbcode_tpl['url4'] = str_replace('{DESCRIPTION}', '\\2', $bbcode_tpl['url4']);

        $bbcode_tpl['email'] = str_replace('{EMAIL}', '\\1', $bbcode_tpl['email']);

        // [url]xxxx://www.phpbb.com[/url] code..
        $patterns[1] = "#\[url\]([a-z]+?://){1}([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+\(\)]+)\[/url\]#si";
        $replacements[1] = $bbcode_tpl['url1'];

        // [url]www.phpbb.com[/url] code.. (no xxxx:// prefix).
        $patterns[2] = "#\[url\]([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+\(\)]+)\[/url\]#si";
        $replacements[2] = $bbcode_tpl['url2'];

        // [url=xxxx://www.phpbb.com]phpBB[/url] code..
        $patterns[3] = "#\[url=([a-z]+?://){1}([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+\(\)]+)\](.*?)\[/url\]#si";
        $replacements[3] = $bbcode_tpl['url3'];

        // [url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix).
        $patterns[4] = "#\[url=([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+\(\)]+)\](.*?)\[/url\]#si";
        $replacements[4] = $bbcode_tpl['url4'];

        // [email]user@domain.tld[/email] code..
        $patterns[5] = "#\[email\]([a-z0-9\-_.]+?@[\w\-]+\.([\w\-\.]+\.)?[\w]+)\[/email\]#si";
        $replacements[5] = $bbcode_tpl['email'];

        // [img]xxxx://www.phpbb.com[/img] code..
        // **** WARNING *******************************************************
        // The [img] tag can be used for a serious attack against your website.
        // So [img] tags are no longer processed to show the specified images.
        // This simple action here is not an ideal solution but is necessary.
        // Now [img] tags will show a dummy image instead as a placeholder.
        // ********************************************************************
        // The following line is the original line that processed [img]:
        // $bbcode_tpl['img'] = '<img src="{URL}" alt="" />';
        // ********************************************************************
        // See this thread on the Coppermine forum for more information:
        // http://forum.coppermine-gallery.net/index.php/topic,58309.0.html
        // Please read this thread carefully before deciding to process [img].
        // ********************************************************************
        $img_removed = '{URL}';  // put the image URL in the tooltip/mouse-over
        $bbcode_tpl['img'] = '<img src="images/thumbnails.gif" alt="" title="' . $img_removed . '" />';
        $bbcode_tpl['img'] = str_replace('{URL}', '\\1\\2', $bbcode_tpl['img']);
        $patterns[6] = "#\[img\]([a-z]+?://){1}([a-z0-9\-\.,\?!%\*_\#:;~\\&$@\/=\+\(\)]+)\[/img\]#si";
        $replacements[6] = $bbcode_tpl['img'];
    }
    $text = preg_replace($patterns, $replacements, $text);
    return $text;
}

[Pascal YAP]

MODPACK 1.4.21 développé par Stramm

http://forum.coppermine-gallery.net/index.php/topic,58432.msg287266.html#msg287266

Direct download => http://downloads.sourceforge.net/coppermine/cpg1.4.21_modpack_stramm_1_bridge.zip

[edit by Frantz] avec le fichier french.php corrigé et traduit entièrement ce qui n'était pas le cas avec le précédent [/edit]

[François Keller]

le fichier french.php du modpack comportait encore une erreur d'encodage qui est corrigée dans le fichier disponible ici http://forum.coppermine-gallery.net/index.php/topic,58416.0.html

[helios79]

Bonjour,

Est-il possible d'appliquer cette MAJ importante lorsque l'on utilise la version de coppermine intégrée dans un module OVH de leur offre 60GP ?

Si oui doit-on procéder et surtout est-ce possible sans perdre toute sa galerie ?

Un grand merci d'avance.

[Pascal YAP]

Je ne connais pas la version proposé par OVH !
Toujours installer nos versions officielles. Ne jamais faire confiance aux package des hébergeurs 

Mais la règle d'Or, est de faire un Backup de la base de données pour se prémunir d'un problème éventuellement lié à une MAJ.
Ceci fait, sauvegardez également ANYCONTENT.PHP (si vous utilisez ce fichier) votre dossiers /ALBUMS/, ainsi que /INCLUDE/CONFIG.INC.PHP par acquis de conscience.

That's all 

[François Keller]

Le problème avec les versions préinstallées, est qu'on ne sait pas si elles ont été modifiées par l'hébergeur.
Mais normalement, la mise à jour peut se faire manuellement sans problèmes en suivant les recommandations indiquées dans la doc.
Les mises à jour ne doivent normalement pas perturber les galeires, sauf si elles ont été fortement modifées au niveau du code source

[helios79]

Je ne connais pas la version proposé par OVH !
Toujours installer nos versions officielles. Ne jamais faire confiance aux package des hébergeurs 

Mais la règle d'Or, est de faire un Backup de la base de données pour se prémunir d'un problème éventuellement lié à une MAJ.
Ceci fait, sauvegardez également ANYCONTENT.PHP (si vous utilisez ce fichier) votre dossiers /ALBUMS/, ainsi que /INCLUDE/CONFIG.INC.PHP par acquis de conscience.

That's all 

Merci de votre réponse.
En fait pour ceux qui comme moi maitrise mal la mise en place de l'outil, le maniement de BDD etc... les modules prêt à l'emploi proposés par les hébergeurs sont tentants lol
Je viens de vérifier, il s'agit d'une version 1.4.14

[helios79]

Les mises à jour ne doivent normalement pas perturber les galeires, sauf si elles ont été fortement modifées au niveau du code source

Pour ma part je n'ai rien changé hormis ce pour quoi tu m'as été d'une aide précieuse il y a quelques temps http://forum.coppermine-gallery.net/index.php/topic,57917.0.html

[François Keller]

oui je me rappelle, de toute façon il ne faut pas remplacer les fichiers de ton theme lors des mises à jour

P.S. Nous sommes hors sujet là, il vaudrait mieux ouvriri un nouveau sujet si tu à des problèmes avec la mise à jour

[helios79]

P.S. Nous sommes hors sujet là, il vaudrait mieux ouvriri un nouveau sujet si tu à des problèmes avec la mise à jour

Oupps pardon 

[helios79]

Comment mettre à jour :
Les utilisateurs de versions antérieures à 1.4.21 devraient mettre à jour immédiatement en téléchargeant notre dernière version depuis la page de téléchargement et en suivant les étapes de mise à jour tel que décrit dans la documentation.

Bonjour,
La documentation qui décrit la façon d'appliquer la MAJ existe-t-elle en français svp ?
Merci

[helios79]

Bonjour,
La documentation qui décrit la façon d'appliquer la MAJ existe-t-elle en français svp ?
Merci

Bon en fait c'est bon, je m'en suis sorti, désolé pour le message précédent qui peut-être effacé

[Pascal YAP]

désolé pour le message précédent qui peut-être effacé

,-) Les messages ne sont jamais effacés  Sauf les Spams lorsqu'ils en arrivent !