forum.coppermine-gallery.net

Support => Français (French) => Language Specific Support => cpg1.4.x Français (French) => Topic started by: François Keller on April 14, 2008, 01:29:34 pm

Title: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: François Keller on April 14, 2008, 01:29:34 pm
L'équipe de développement mets à disposition une mise à jour de sécurité pour Coppermine afin de contrer une faille de sécurité permettant des injections sql dans le code. Il est très important que tous les utilisateurs de la version 1.4.17 de Coppermine ou plus ancienne mettent à jour vers cette version le plus rapidement possible.

C'est la seule correction apportée avec cette mise à jour.

comment mettre à jour:
Si vous utilisez la version 1.4.17, vous pouvez patcher votre galerie en remplacant le fichier bridge/coppermine.inc.php avec la version corrigée que vous trouverez  ici (http://coppermine.svn.sourceforge.net/viewvc/*checkout*/coppermine/trunk/cpg1.4.x/bridge/coppermine.inc.php?revision=4381). This Il s'agit là de la seule correction apportée par cette mise à jour..
Les utilisateurs d'une version antérieure à la version 1.4.17 doivent mettre à jour immédiatement en téléchargeant (http://downloads.sourceforge.net/coppermine/cpg1.4.18.zip) la version la plus récente depuis la page de téléchargement (http://sourceforge.net/project/showfiles.php?group_id=89658) et en suivant les étapes de mises à jour décrites dans la documentation (http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#upgrade).

Aide:
Si vous rencontrez des problèmes avec cette mise à journ n'utilisez pas ce post d'annonce, mais ouvrez un nouveau sujet sur ce forum.

Pourquoi une version 1.4.18 quelques jours après cpg1.4.17 ?
Le Patch de la version 1.4.17 ne résolvait pas tout le problème rencontré actuellement - il résolvait certains problèmes que l'attaque actuelle n'utilisait pas. Cette nouvelle mise à jour corrige le problème de sécurité permettant les hackages actuels.

la  version 1.4.18 contiens toutes les mises à jour det corrections déjà présentes dans la version 1.4.17.

Note: Pour les galeries qui ont été infectées, il  ne suffit pas de mettre à jour - vous devez nettoyer votre site avant. La mise à jour corrige la vulnérabilité mais ne nettoie pas les fichiers infectés. Lisez les posts relatifs à ce problème (en particulier le post ci dessous) pour voir comment nettoyer votre galerie - ne polluez pas ce sujet d'annonce de mise à jour  avec des commentaires ou des questions, ouvrez un nouveau sujet sur le forum.

Un énorme merci à Nibbler qui à trouvé la manière de corriger cette faille de sécurité.

Thanks,
The Coppermine Team
Title: Re: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: François Keller on April 14, 2008, 01:32:47 pm
Malgé la mise à jour vers Cpg1.4.17, il reste une faille de sécurité dans Coppermine.
Une solution a été trouvée par Nibbler grâce au rapport fait par un administrateur système d'un gros hébergeur qui a pu donner les informations necessaires à une correction.
voici la marche à suivre:

*effacez de votre serveur le fichier update.php
*verifiez tous vos fichier pour voir si vous n'avez pas été hacké, en particulier le répertoire albums. Si à la fin de vos fichiers vous trouvez une ligne supplémentaire faisant appel à une <iframe> effacez la de tous les fichiers de ce répertoire.
*mettez à jour vers la version 1.4.18 en prenant soins de bien remplacer les fichiers de votre serveur. ou si vous utilisez la version 1.4.17 allez récupérer le fichier bridge/coppermine.inc.php depuis le svn (http://coppermine.svn.sourceforge.net/viewvc/*checkout*/coppermine/trunk/cpg1.4.x/bridge/coppermine.inc.php?revision=4381) et remplacez celui de votre serveur.

Title: Re: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: Pascal YAP on April 14, 2008, 02:40:08 pm
Ceux qui utilisent le MODPACK de Stramm peuvent le télécharger en suivant ce lien.
MODPACK 1.4.18 : I C I. (http://downloads.sourceforge.net/coppermine/cpg1.4.18_modpack_stramm_1_bridge.zip)

PYAP
Title: Re: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: François Keller on April 15, 2008, 07:37:16 am
Foulu a codé un petit utilitaire permettant d'automatiser le nettoyage des sites infectés (regardez le fichier attaché)
le script scanne l'ensemble des fichiers .php et .html à la recherche du code malveillant et l'efface si il le trouve
Utilisez ce script avec précautions.
Mode d'emploi:
téléchargez le script depuis ce post,
dézippez l'archive et placez la sur votre serveur
depuis votre navigateur, allez à l'adresse de la page (http://www.votresite.com/cure.php (http://www.votresite.com/cure.php))
Title: Re: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: Pascal YAP on April 15, 2008, 10:35:51 am
Quote
Foulu a codé un petit utilitaire permettant d'automatiser le nettoyage des sites infectés (regardez le fichier attaché)
.. Utilisez ce script avec précautions.
Urg  ??? Carrément radical ! "Avec Précautions" n'est pas assez fort à mon goût !
Je dirai plutôt : Utilisez ce script seulement si vous savez ce que vous faites... C'est l'holocauste du site si ce n'est pas maitrisé  ;D

PYAP
Title: Re: █ █ CPG 1.4.18 Security release - Mise à jour OBLIGATOIRE !!!
Post by: François Keller on April 15, 2008, 02:12:07 pm
le risque est assez minime puisque seul la portion de code incriminée dans l'attaque est effacée des fichiers.
J'ai fait un test et ça marche assez bien à mon sens.
Ce n'est pas le fichier infecté qui est effacé, mais la portion de code contenue dans le fichier qui est éffacée