Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: ███ URGENT ███ Risques MAJEURS de piratage avec CPG 1.4.3 et 1.3.5  (Read 6062 times)

0 Members and 1 Guest are viewing this topic.

Titooy

  • VIP
  • Coppermine addict
  • ***
  • Offline Offline
  • Posts: 736
    • under construction...

Une faille permettant l'exécution de code à distance a été trouvée dans Coppermine 1.4.3 - cela concerne les installations qui permettent l'inscription d'utilisateurs et autorisent ces utilisateurs à uploader des fichiers. Mais il vaut mieux que tout le monde mette à jour son installation.

Procédure à suivre:
Ouvrez le fichier include/init.inc.php

CPG 1.4.3 :
Trouvez (ligne 301)
Code: [Select]
$USER['lang'] = $_GET['lang'];  Remplacez par
Code: [Select]
$USER['lang'] = ereg("^[a-z0-9_-]*$", $_GET['lang']) ? $_GET['lang'] : $CONFIG['lang'];
CPG 1.3.5 :
Trouvez (ligne 367)
Code: [Select]
$USER['lang'] = $HTTP_GET_VARS['lang'];Remplacez par
Code: [Select]
$USER['lang'] = ereg("^[a-z0-9_-]*$", $HTTP_GET_VARS['lang']) ? $HTTP_GET_VARS['lang'] : $CONFIG['lang'];

Ensuite ouvrez docs/showdocs.php (CPG 1.4.3 uniquement)
Trouvez (ligne 51)
Code: [Select]
@include($file);
Remplacez par
Code: [Select]
@include('index.htm');

Voilà. Si vous ne vous sentez pas à l'aise avec l'édition du code, téléchargez ce fichier qui contient les 2 fichiers corrigés pour la version 1.4.3 (à mettre dans les bons répertoires)

Merci à rgod qui a découvert la faille et à Tarique, Amit et Abbas qui ont corrigé le problème.

Au risque de me répéter : Appliquez ces modifications TOUT DE SUITE ou vous risquez d'être piraté. Cette faille permet à n'importe qui avec un minimum de connaissances en php de prendre le controle de votre site.


message original : http://forum.coppermine-gallery.net/index.php?topic=28062.0
« Last Edit: August 28, 2006, 08:47:12 am by PYAP »
Logged

phv78

  • Coppermine newbie
  • Offline Offline
  • Posts: 3

Et avec la 1.44, c'est pareil ?

Phil
Logged

Titooy

  • VIP
  • Coppermine addict
  • ***
  • Offline Offline
  • Posts: 736
    • under construction...

Non. Ce bug est la principale raison de la sortie d'une version 1.4.4 où cette faille est donc corrigée.
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9094
  • aka Frantz
    • Ma galerie

Grillé par Titooy

Un remarque pour phv78, une lecture des post-it anglophones aurait donné la réponse  ;)
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog
Pages: [1]   Go Up
 

Page created in 0.016 seconds with 20 queries.