Bonjour,
La
Dev-Team et
Nibbler propose un FIX pour les récentes attaques constatées.
Une version sécurisée CPG 1.4.17 est déjà à disposition ici.
http://downloads.sourceforge.net/coppermine/cpg1.4.17.zip
Il est possible de modifier le fichier
UPLOAD.PHP afin de tenter de se prémunir d'éventuelles attaques.
Cependant il n'est pas interdit de faire un Upgrade complet de votre Galerie.
Le fichier
UPLOAD.PHP est à éditer :
Recherhez dans Upload.php :
} else {
// We will try to get the extension from the database.
$MIME_result = cpg_db_query("SELECT extension FROM {$CONFIG['TABLE_FILETYPES']} WHERE mime='$URI_MIME_type'");
// Check to see if any results were returned.
if (!mysql_num_rows($MIME_result)) {
// No results, so free up the resources.
mysql_free_result($MIME_result);
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
} else {
// The was a result. Fetch it.
$extension_data = mysql_fetch_array($MIME_result);
// Release the resources.
mysql_free_result($MIME_result);
// Store the extension in $extension.
$extension = $extension_data['extension'];
}
}
Que vous remplacerez par ceci :
} else {
$extension = '';
foreach ($FILE_TYPES as $ext => $typedata){
if ($typedata['mime'] == $URI_MIME_type){
// Store the extension in $extension.
$extension = $ext;
break;
}
}
if (!$extension){
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
}
}
Bien entendu,
faites une sauvegarde avant quoique se soit !
En espérant que
les Russes soient bloqués et repoussés
INFOS CONNEXES :
* Si votre Galerie a subit une attaque, veillez à bien
ReUploader tous les fichiers de Coppermine (1.4.17)
* N'oubliez pas de vérifier le contenu de votre répertoire
albums ainsi que de ses sous répertoires (fichier .zip à éliminer et fichier index.html et index.php à remplacer), en particulier le sous-répertoire userpics
* Dans le même temps renouvelez tous vos Plugins.
* Si vous possédez un Forum, un CMS ou autres applis PHP, sanitisez absolument tous vos fichiers.
* Pour finir, occupez-vous de vos fichiers HTML si vous possédez un web HTML.
TOUS LES FICHIERS DE VOTRE SITE SONT POTENTIELLEMENT CONTAMINES PYAP