Advanced search  

News:

cpg1.5.46 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter recently discovered vulnerabilities. It is important that all users who run version cpg1.5.44 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: █ █ COPPERMINE 1.4.23 MISE A JOUR DE SECURITE OBLIGATOIRE █ █  (Read 6291 times)

0 Members and 1 Guest are viewing this topic.

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie

L'équipe de développement de Coppermine publie une mise à jour de sécurité pour Coppermine afin de contrer une vunérabilité récemment découverte. Il est important pour tous le utilisateurs qui utilisent la version cpg1.4.22 ou antérieure de mettre leur galerie à jour le plus rapidement possible.

Comment mettre à jour:
Les utilisateurs utilisant une version antérieur à  1.4.22 doivent immédiatement mettre à jour leur installation en téléchargeant la dernière version depuis la page de téléchargement et en suivant les étapes de mises à jour décrites dans la documentation.

Pour ceux qui veulent appliquer la correction manuellement (non recommandé, cette correction ne corrigera que le problème de sécurité) à leur installation de Coppermine, les fichiers suivant sont à modifier.

Ouvrez - ./include/init.inc.php

Trouvez

Code: [Select]
if (ini_get('register_globals') == '1' || strtolower(ini_get('register_globals')) == 'on') {
    $register_globals_flag = true;
} else {
    $register_globals_flag = false;
}

et ajoutez juste après


Code: [Select]
if (is_array($GLOBALS)) {
        foreach ($GLOBALS as $key => $value) {
                if (!in_array($key, $keysToSkip) && isset($$key) && $register_globals_flag) unset($$key);
        }
}

Ouvrez - ./db_input.php

Trouvez

Code: [Select]
$password = $_POST['alb_password'];
et remplacez par

Code: [Select]
$password = addslashes($_POST['alb_password']);
Finalement ouvrez ./displaycard.php

Trouvez et effacez entièrement ce qui suit.

Code: [Select]
// attempt to obtain full link from db if ecard logging enabled and min 12 chars of data is provided and only 1 match
if ((!is_array($data)) && $CONFIG['log_ecards'] && (strlen($_GET['data']) > 12)) {
        $result = cpg_db_query("SELECT link FROM {$CONFIG['TABLE_ECARDS']} WHERE link LIKE '{$_GET['data']}%'");
        if (mysql_num_rows($result) === 1) {
                $row = mysql_fetch_assoc($result);
                $data = @unserialize(@base64_decode($row['link']));
        }
}


Aide:
Si vous avez des problèmes avec cette mise à jour, merci d'ouvrir un nouveau sujet sur ce forum. Ne postez pas vos questions à ce pots d'annonce - il serait effacé sans prévenir.

Pourquoi la publication de cpg1.4.23 ?
Cette version corrige une vulnérabilité récemment découverte permettant (si l'installation n'est pas à jour) à un utilisateur de lancer Une Injection SQL (sujet).
En plus, cpg1.4.23 inclue les corrections pour les problèmes (non relatifs à la sécurité) ci dessous:
  • Ajout du support  PHP 5.3 au debugger
  • Ajout d'un message d'alerte pour l'administrateur si register_globals est paramétré sur 'on'
  • Mise à jour du fichier langue Italienne (Contribution utilisateur)

Merci àNibbler pour la réalisation de la correction, et merci à breath de nous avoir informé de ce problème. Merci enfin à girex qui à découvert cette vulnérabilité et l'a rendue publique.


Merci,
L'equipe de développement de Coppermine
« Last Edit: June 22, 2009, 04:28:07 pm by François Keller »
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie

Pour les utilisateurs de Free
Lors de la mise à jour vers la version 1.4.23. Il est indispensable de placer un fichier .htaccess à la racine de votre site avec le code ci dessous
Code: [Select]
php 1celà vous évitera les désagréments d'une erreur 500
« Last Edit: May 24, 2009, 10:24:11 am by François Keller »
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie

Pour ceux qui ont une erreur 500 à la mise à jour
essayez le patch ci dessous proposé par Nibbler
ouvrez le fichier includes/init.inc.php et changez le code
Code: [Select]
$keysToSkip = array('_POST', '_GET', '_COOKIE', '_REQUEST', '_SERVER', 'HTML_SUBST', 'keysToSkip', 'register_globals_flag', 'cpgdebugger');par
Code: [Select]
$keysToSkip = array('_POST', '_GET', '_COOKIE', '_REQUEST', '_SERVER', 'HTML_SUBST', 'keysToSkip', 'register_globals_flag', 'cpgdebugger', 'key');
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog
Pages: [1]   Go Up
 

Page created in 0.016 seconds with 20 queries.