forum.coppermine-gallery.net
Support => Italian (Italiano) => Closed boards => Language Specific Support => cpg1.4.x Italian (Italiano) => Topic started by: Ludo on March 13, 2009, 09:40:55 am
-
Coloro che vogliano proteggersi contro le falle di sicurezza note dalla v. 1.4.20 (http://forum.coppermine-gallery.net/index.php/topic,58265.0.html) senza perdere l'uso dei tab BBCode img ed url, troveranno utile questo fix (http://forum.coppermine-gallery.net/index.php/topic,58489.msg287677.html#msg287677) da me elaborato.
Testato personalmente dal sottoscritto, rende inoffensivi gli attacchi menzionati e tutti quelli basati su dati inviati tramite query string dalla pagina delete.php
La patch è compatibile con tutte le versioni di Coppermine a partire dalla 1.4.20; per quelle successive alla 1.4.20 è richiesto il ripristino della precedente versione della funzione bb_decode in include/functions.inc.php, come specificato nel post linkato sopra.
A disposizione per supporto nell'applicazione.
-
Particolarmente interessante ed utile per chi utilizza/ha utilizzato i tags nella sua galleria.
Seguo con interesse ;-)
-
Massimo rispetto per gli sviluppatori, ma il rimedio da me escogitato mi pare senz'altro meno rozzo e costoso, in termini di funzionalità della Galleria, di quello accolto nella v. 1.4.21, che tra parentesi incide sull'effetto trascurando la causa. Nel mio primo approccio al problema, avevo dato per scontato l'uso del metodo POST nei moduli che inseriscono o modificano dati, in quanto consolidata pratica di buona scrittura del codice PHP (vedasi la data dell'articolo citato da F.F.), e invece ad una lettura attenta del codice...ecco la falla! Insomma, non c'è alcuna ragione per cui la suddetta patch non sia quantomeno introdotta al volo nella 1.4.21, anche volendo mantenere il pessimo accrocchio che vanifica i tag BBCode img e url (magari lasciando liberi gli utenti di attivarlo o meno)...
Se poi mi si viene a dire che l'accertata soluzione agli specifici exploits in questione potrebbe non proteggere la galleria nei confronti di nuove forme di attacco non ancora note...allora lo stesso avrebbe dovuto valere per ogni e qualsiasi patch ufficiale finora rilasciata, o no?
Un po' di umiltà e spirito open-source in più a volte non guasterebbe...
-
e per fortuna che c'è il sor Ludo :D fatte rispettà!!
senti una cosa: quando dici si "declina ogni responsabilità" intendi dire che la modifica è sicura, ma se trovano altri exploit non è colpa tua (giustamente). Te lo chiedo perchè questa tua modifica non l'ho applicata ancora :-\
-
Come vedi, di fronte all'osservazione "Sì, ma sicuramente a breve salteran fuori nuovi exploit" ho lasciato perdere... ::)
Ora ho tolto dal primo post l'inciso in cui declinavo responsabilità per futuri exploit attualmente non noti, proprio per quel che si diceva sopra: la patch serve per difendersi da quelli specificamente indicati come oggetto della v. 1.4.21 e - al contrario di quest'ultima - da tutti quelli attuati tramite query string dalla pagina delete.php, ma del doman non v'è certezza (cit.) ;D
-
.....chi vuol esser lieto sia ;D
e la modifica l'applico pure io. Adesso il primo exploit che si fa sotto...ci spezziam le corn! 8)
-
Testo del messaggio iniziale aggiornato per meglio chiarire che la patch è tranquillamente applicabile a tutte le versioni dalla 1.4.20
Moderatori, che ne dite di mettere il post in evidenza? 8) :-*
-
Aggiunto nel topic "FAQ in italiano di Coppermine, trucchi, plugins, hacks, mods, etc..." qui sopra in evidenza.