forum.coppermine-gallery.net
Support => Français (French) => Language Specific Support => cpg1.4.x Français (French) => Topic started by: Pascal YAP on April 10, 2008, 09:21:13 pm
-
Bonjour,
La Dev-Team et Nibbler propose un FIX pour les récentes attaques constatées.
Une version sécurisée CPG 1.4.17 est déjà à disposition ici.
http://downloads.sourceforge.net/coppermine/cpg1.4.17.zip
Il est possible de modifier le fichier UPLOAD.PHP afin de tenter de se prémunir d'éventuelles attaques.
Cependant il n'est pas interdit de faire un Upgrade complet de votre Galerie.
Le fichier UPLOAD.PHP est à éditer :
Recherhez dans Upload.php :
} else {
// We will try to get the extension from the database.
$MIME_result = cpg_db_query("SELECT extension FROM {$CONFIG['TABLE_FILETYPES']} WHERE mime='$URI_MIME_type'");
// Check to see if any results were returned.
if (!mysql_num_rows($MIME_result)) {
// No results, so free up the resources.
mysql_free_result($MIME_result);
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
} else {
// The was a result. Fetch it.
$extension_data = mysql_fetch_array($MIME_result);
// Release the resources.
mysql_free_result($MIME_result);
// Store the extension in $extension.
$extension = $extension_data['extension'];
}
}
Que vous remplacerez par ceci :
} else {
$extension = '';
foreach ($FILE_TYPES as $ext => $typedata){
if ($typedata['mime'] == $URI_MIME_type){
// Store the extension in $extension.
$extension = $ext;
break;
}
}
if (!$extension){
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
}
}
Bien entendu, faites une sauvegarde avant quoique se soit !
En espérant que les Russes soient bloqués et repoussés ;D
INFOS CONNEXES :
* Si votre Galerie a subit une attaque, veillez à bien ReUploader tous les fichiers de Coppermine (1.4.17)
* N'oubliez pas de vérifier le contenu de votre répertoire albums ainsi que de ses sous répertoires (fichier .zip à éliminer et fichier index.html et index.php à remplacer), en particulier le sous-répertoire userpics
* Dans le même temps renouvelez tous vos Plugins.
* Si vous possédez un Forum, un CMS ou autres applis PHP, sanitisez absolument tous vos fichiers.
* Pour finir, occupez-vous de vos fichiers HTML si vous possédez un web HTML.
TOUS LES FICHIERS DE VOTRE SITE SONT POTENTIELLEMENT CONTAMINES :-\
PYAP
-
La version 1.4.17 est disponible
voici la traduction du message d'annonce
L'équipe de développement mets à disposition une mise à jour de sécurité pour Coppermine afin de contrer une vulnérabilité pour une injection sql découverte récemment. Il est important pour les utilisateurs utilisant CPG 1.1.14 ou antérieure de mettre à jour votre galerie le plus vite possible.
Pour corriger manuellement la faille de sécutité vous pouvez appliquer le fix ci dessous. Notez que le fait d'appliquer cette correction manuellement sécurise votre site, mais ne se substutue pas à une mise à jour complête, du fait de d'autres corrections non relatives à la sécurité ont été inclusent àà la version 1.4.17l.
Correction manuelle (non recommandée):
éditez upload.php, et trouvez
} else {
// We will try to get the extension from the database.
$MIME_result = cpg_db_query("SELECT extension FROM {$CONFIG['TABLE_FILETYPES']} WHERE mime='$URI_MIME_type'");
// Check to see if any results were returned.
if (!mysql_num_rows($MIME_result)) {
// No results, so free up the resources.
mysql_free_result($MIME_result);
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
} else {
// The was a result. Fetch it.
$extension_data = mysql_fetch_array($MIME_result);
// Release the resources.
mysql_free_result($MIME_result);
// Store the extension in $extension.
$extension = $extension_data['extension'];
}
}
remplacez par
} else {
$extension = '';
foreach ($FILE_TYPES as $ext => $typedata){
if ($typedata['mime'] == $URI_MIME_type){
// Store the extension in $extension.
$extension = $ext;
break;
}
}
if (!$extension){
// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);
// There is no need for further tests or action, so skip the remainder of the iteration.
continue;
}
}
Les corrections ci dessous ont été inclues à la version 1.4.17:
- 2008-04-10 mise à disposition de cpg1.4.17 {GauGau}
- 2008-04-10 Correction de lal faille de sécurité (injection SQL pour les uploads par URI){Nibbler}
- 2008-03-19 Ajout du language Welsh (user contribution) {Nibbler}
- 2008-03-02 Updated version count from cpg1.4.16 to cpg1.4.17 in subversion repository as a preparation for a possible future release {GauGau}
- 2008-02-29 Changement du format des dates dans les fichiers langues pour une meilleure compatibilité avec windows {Nibbler}
- 2008-02-12 mise à jour du fichier langue Roumaine (user contribution) {GauGau}
- 2008-02-07 Ajout du fichier langue Latvian (user contribution) {GauGau}
- 2008-02-04 correction du bug de rotation des images avec ImageMagik {Nibbler}
Comment mettre à jour:
Pour mettre à jour n'importe quelle version de coppermine vers la version 1.4.17, Téléchargez (http://downloads.sourceforge.net/coppermine/cpg1.4.17.zip) la dernière version depuis la page de téléchargement (http://sourceforge.net/project/showfiles.php?group_id=89658) et suivez les étapes de mise à jour décrites dans la documentation (http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#upgrade).
Si vous rencontrez des problèmes avec cette mise à jour, ouvre un nouveau sujet. Ne postez pas vos problèmes à la suite de ce sujet d'annonce, votre post serait effacé sans préavis.
Merci,
The Coppermine Team
-
ModPack 1.4.17 par Stramm.
Exclusivement pour ceux qui utilisent le ModPack, cliquez ICI pour télécharger la version 1.4.17 du ModPack. (http://stramm.st.funpic.org/albums/userpics/10001/stramm_mod1_4_17_bridge.zip)
PYAP
ps :
1/ On télécharge CPG 1.4.17 sur son FTP, puis on fait un UPDATE.PHP
2/ On télécharge le ModPack 1.4.17 sur son FTP, puis on fait un UPDATE.PHP
-
L'aventure continue avec une nouvelle mésaventure ???
Rendez vous sur le sujet suivant pour la version 1.4.18 :
http://forum.coppermine-gallery.net/index.php/topic,51879.0.html
CLOSED