forum.coppermine-gallery.net

Support => Español (Spanish) => Closed boards => Language Specific Support => cpg1.4.x Español (Spanish) => Topic started by: Fabricio Ferrero on May 25, 2009, 04:08:08 am

Title: CPG 1.4.23 Actualización por seguridad - OBLIGATORIO
Post by: Fabricio Ferrero on May 25, 2009, 04:08:08 am

El equipo de Desarrollo de Coppermine ha lanzado la versión 1.4.23. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.


¿Como actualizar?

Descargá la version completa de Coppermine Photo Gallery v1.4.23 (desde aqui (http://sourceforge.net/project/showfiles.php?group_id=89658)) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador. (http://www.tusitio.tld/carpeta-coppermine/update.php)


Para aquellos que quieran actualizar la galería manualmente (No recomendado), abrir el archivo ./include/init.inc.php y busca:

Code: [Select]

if (ini_get('register_globals') == '1' || strtolower(ini_get('register_globals')) == 'on') {
    $register_globals_flag = true;
} else {
    $register_globals_flag = false;
}
Y debajo añade las siguientes lineas:

Code: [Select]

if (is_array($GLOBALS)) {
        foreach ($GLOBALS as $key => $value) {
                if (!in_array($key, $keysToSkip) && isset($$key) && $register_globals_flag) unset($$key);
        }
}

Abre el archivo: ./db_input.php

Y busca:

Code: [Select]

$password = $_POST['alb_password'];
Y reemplazalo con:

Code: [Select]

$password = addslashes($_POST['alb_password']);
Por último, Abre:

Code: [Select]

./displayecard.php
Selecciona lo siguiente y eliminalo:

Code: [Select]

// attempt to obtain full link from db if ecard logging enabled and min 12 chars of data is provided and only 1 match
if ((!is_array($data)) && $CONFIG['log_ecards'] && (strlen($_GET['data']) > 12)) {
        $result = cpg_db_query("SELECT link FROM {$CONFIG['TABLE_ECARDS']} WHERE link LIKE '{$_GET['data']}%'");
        if (mysql_num_rows($result) === 1) {
                $row = mysql_fetch_assoc($result);
                $data = @unserialize(@base64_decode($row['link']));
        }
}


Soporte Técnico:

Si tienes algún problema y necesitas soporte, no debes contestar acá, debes crear un nuevo tema (Topic) en el Foro de soporte en Español (http://forum.coppermine-gallery.net/index.php/board,55.0.html)


La versión 1.4.23 fue lanzada porque (sin este parche) se podía ejecutar una Inyección SQL (http://en.wikipedia.org/wiki/SQL_injection). (Tema (http://forum.coppermine-gallery.net/index.php/topic,59542.0.html))


Muchas gracias a breath (http://forum.coppermine-gallery.net/index.php?action=profile;u=66460) quién descubrió la vulnerabilidad y a Nibbler (http://forum.coppermine-gallery.net/index.php?action=profile;u=941) que descubrió la solución.



Muchas Gracias,


Equipo de Desarrollo Coppermine,

Title: Re: CPG 1.4.23 Actualización por seguridad - OBLIGATORIO
Post by: Fabricio Ferrero on May 25, 2009, 04:10:16 am

ModPack de Stramm - Versión para Coppermine 1.4.23 (http://forum.coppermine-gallery.net/index.php/topic,59614.0.html)