Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: █ █ COPPERMINE 1.4.23 MISE A JOUR DE SECURITE OBLIGATOIRE █ █  (Read 8491 times)

0 Members and 1 Guest are viewing this topic.

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9096
  • aka Frantz
    • Ma galerie

L'équipe de développement de Coppermine publie une mise à jour de sécurité pour Coppermine afin de contrer une vunérabilité récemment découverte. Il est important pour tous le utilisateurs qui utilisent la version cpg1.4.22 ou antérieure de mettre leur galerie à jour le plus rapidement possible.

Comment mettre à jour:
Les utilisateurs utilisant une version antérieur à  1.4.22 doivent immédiatement mettre à jour leur installation en téléchargeant la dernière version depuis la page de téléchargement et en suivant les étapes de mises à jour décrites dans la documentation.

Pour ceux qui veulent appliquer la correction manuellement (non recommandé, cette correction ne corrigera que le problème de sécurité) à leur installation de Coppermine, les fichiers suivant sont à modifier.

Ouvrez - ./include/init.inc.php

Trouvez

Code: [Select]
if (ini_get('register_globals') == '1' || strtolower(ini_get('register_globals')) == 'on') {
    $register_globals_flag = true;
} else {
    $register_globals_flag = false;
}

et ajoutez juste après


Code: [Select]
if (is_array($GLOBALS)) {
        foreach ($GLOBALS as $key => $value) {
                if (!in_array($key, $keysToSkip) && isset($$key) && $register_globals_flag) unset($$key);
        }
}

Ouvrez - ./db_input.php

Trouvez

Code: [Select]
$password = $_POST['alb_password'];
et remplacez par

Code: [Select]
$password = addslashes($_POST['alb_password']);
Finalement ouvrez ./displaycard.php

Trouvez et effacez entièrement ce qui suit.

Code: [Select]
// attempt to obtain full link from db if ecard logging enabled and min 12 chars of data is provided and only 1 match
if ((!is_array($data)) && $CONFIG['log_ecards'] && (strlen($_GET['data']) > 12)) {
        $result = cpg_db_query("SELECT link FROM {$CONFIG['TABLE_ECARDS']} WHERE link LIKE '{$_GET['data']}%'");
        if (mysql_num_rows($result) === 1) {
                $row = mysql_fetch_assoc($result);
                $data = @unserialize(@base64_decode($row['link']));
        }
}


Aide:
Si vous avez des problèmes avec cette mise à jour, merci d'ouvrir un nouveau sujet sur ce forum. Ne postez pas vos questions à ce pots d'annonce - il serait effacé sans prévenir.

Pourquoi la publication de cpg1.4.23 ?
Cette version corrige une vulnérabilité récemment découverte permettant (si l'installation n'est pas à jour) à un utilisateur de lancer Une Injection SQL (sujet).
En plus, cpg1.4.23 inclue les corrections pour les problèmes (non relatifs à la sécurité) ci dessous:
  • Ajout du support  PHP 5.3 au debugger
  • Ajout d'un message d'alerte pour l'administrateur si register_globals est paramétré sur 'on'
  • Mise à jour du fichier langue Italienne (Contribution utilisateur)

Merci àNibbler pour la réalisation de la correction, et merci à breath de nous avoir informé de ce problème. Merci enfin à girex qui à découvert cette vulnérabilité et l'a rendue publique.


Merci,
L'equipe de développement de Coppermine
« Last Edit: June 22, 2009, 04:28:07 pm by François Keller »
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9096
  • aka Frantz
    • Ma galerie
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9096
  • aka Frantz
    • Ma galerie

Pour les utilisateurs de Free
Lors de la mise à jour vers la version 1.4.23. Il est indispensable de placer un fichier .htaccess à la racine de votre site avec le code ci dessous
Code: [Select]
php 1celà vous évitera les désagréments d'une erreur 500
« Last Edit: May 24, 2009, 10:24:11 am by François Keller »
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9096
  • aka Frantz
    • Ma galerie

Pour ceux qui ont une erreur 500 à la mise à jour
essayez le patch ci dessous proposé par Nibbler
ouvrez le fichier includes/init.inc.php et changez le code
Code: [Select]
$keysToSkip = array('_POST', '_GET', '_COOKIE', '_REQUEST', '_SERVER', 'HTML_SUBST', 'keysToSkip', 'register_globals_flag', 'cpgdebugger');par
Code: [Select]
$keysToSkip = array('_POST', '_GET', '_COOKIE', '_REQUEST', '_SERVER', 'HTML_SUBST', 'keysToSkip', 'register_globals_flag', 'cpgdebugger', 'key');
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog
Pages: [1]   Go Up
 

Page created in 0.019 seconds with 21 queries.