L'équipe de développement de Coppermine publie une mise à jour de sécurité pour contrer une faille récemment découverte. Il est impératif que tous les utilisateurs de cpg1.4.21 ou antérieur mettent à jour leur galerie le plus rapidement possible.
Comment mettre à jour:
Les utilisateurs d'une version antérieure à 1.4.22 doivent mettre à jour immédiatement en
téléchargeant la dernière version depuis
la page de téléchargement et en suivant les
les étapes de mise à jour décrites dans la documentation.
Pour ceux qui veulent appliquer la correction manuellement à leur installation Coppermine, ouvrez
docs/showdoc.php et remplacez:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
avec les lignes suivantes:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);
Aide:
Si vous avez des problèmes avec cette mise à jour, utilisez ce
forum. Ne postez pas les questions relatives à vos problèmes à la suite de ce post , mais ouvrez un nouveau sujet. Sinon, votre post sera effacé sans préavis.
Pourquoi la publication de cpg1.4.22 ?Cette mise à jour corrige une faille de sécurité découverte très récemment qui permet (si vous n'avez pas appliqué le patch) de lancer une
attaque XSS (
sujet (en anglais).
En plus, cpg1.4.22 inclue les corrections suivantes sans impact de sécurité:
- Correction de la mauvaise expiration du bannissement du à une mauvaise application du time offset (sujet)
- Augmentation le la longueur maximum du champ de mot de passe dans le gestionnaire d'utilisateurs de 8 à 25
Merci à
Gerendi Sandor Attila qui à découvert la vulnérabilité et à
Nibbler pour la création du Patch.
Merci,
L'équipe de développement de Coppermine