1.4.21 MISE A JOUR DE SÉCURITÉ
L'équipe de développement de Coppermine publie une mise à jour de sécurité pour Coppermine afin de contrer une vulnérabilité récemment découverte.
Il est impératif que tous les utilisateurs qui utilisent la version cpg1.4.20 mettent à jour leur ancienne version dès que possible.
Comment mettre à jour :
Les utilisateurs de versions antérieures à 1.4.21 devraient mettre à jour immédiatement en téléchargeant notre dernière version
depuis la page de téléchargement et en suivant les étapes de mise à jour tel que
décrit dans la documentation.
Pour ceux qui veulent appliquer le correctif manuellement la vulnérabilité de leur Galerie Coppermine, lisez le message qui suit (lien).
Support :
Si vous avez des problèmes avec cette mise à jour, s'il vous plaît ouvrez un nouveau sujet sur le forum pour obtenir de l'aide.
Ne postez vos questions dans ce Sujet, votre message sera supprimé sans préavis.
Pourquoi cpg1.4.21 a été publié ?Cette nouvelle publication couvre une vulnérabilité récemment découverte, qui permet (si sans patchs) à un utilisateur de lancer une attaque CSRF (
définition) à l'encontre de votre site Web (milw0rm exploit
8114 et
8115 ). La vulnérabilité est due à la transformation de bbcode tags [ i m g ] et [ u r l ].
L'attaque qui peut être lancé par le biais de ces balises peuvent être de grande envergure et tous les Administrateurs de Galeries Coppermine doivent prendre cette question au très sérieux.
Depuis cpg1.4.x est un script stable, mais l'équipe de développement de Coppermine ne pouvait pas répondre à cette vulnérabilité, sans un grand changement dans la manière dont les formes sont traitées. Donc la solution est de retirer le traitement correct de ces deux balises bbcode, [ i m g ] et [ u r l ]. Ce n'est pas une solution définitive, mais il est nécessaire de remédier à ce grave problème.
L'équipe de développement de Coppermine travaille sur un moyen de traiter ces bbcode (tags) et (post) ici avec plus d'informations. Vous pouvez lire des informations sur la façon dont ces étiquettes sont traitées et la manière de modifier dans votre propre solution
dans la documentation des bbcode.
L'attaque qui peut être lancé par le biais de ces balises peuvent être de grande envergure et tous les Administrateurs de Galeries Coppermine doivent prendre cette question très au sérieux.
En outre, cpg1.4.21 comprend des correctifs pour de problèmes non liés à la sécurité :
* Correction de HTML des caractères spéciaux dans les referer pour hit / stats vote (
thread)
* Correction de la conversion "search_phrase" de la matrice de chaîne pour la table 'hit_stats "
* Correction de «inconnu» dans le domaine du navigateur hit_stats table (
thread)
* Correction de requête non valide dans la limite de "aléatoire" des méta-album, dans certains cas, (
thread)
* Correction de "Sélection de photos privées comme une catégorie aperçu" question (
thread)
Merci à Staker au milw0rm qui ont découvert la vulnérabilité.
L'équipe de développement de Coppermine