Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Aggiornamento sicurezza cpg1.4.13 - upgrade obbligatorio  (Read 4399 times)

0 Members and 1 Guest are viewing this topic.

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu
Aggiornamento sicurezza cpg1.4.13 - upgrade obbligatorio
« on: September 19, 2007, 11:05:26 pm »

Coppermine 1.4.13 - aggiornamento di sicurezza

Il team di sviluppo ha rilasciato un aggiornamento di sicurezza per riparare ad una possibile vulnerabilitÓ di cross-site-scripting. ╚ importante che tutti gli utenti che utilizzano la versione 1.4.12 o una precedente di aggiornare al pi¨ presto.

Per correggere manualmente il problema, si possono anche seguire le indicazioni a seguire. Vogliate notare che il fix manuale del problema, riparerÓ la falla di sicurezza, ma non si dovrÓ sostituire ad un aggiornamento, in quante altre svariate modifiche non relative alla sicurezza sono presenti nel nuovo pacchetto.

Fix manuale (non raccomandato):
Aprite il file include/init.inc.php con un editor di testo, trovate
Code: [Select]
/**
* CPGPluginAPI::action('page_start',null)
e aggiungete prima (in una nuova linea)
Code: [Select]
// If referer is set in URL and it contains 'http' or 'script' texts then set it to 'index.php' script
if (isset($_GET['referer'])) {
        if (preg_match('/((\%3C)|<)[^\n]+((\%3E)|>)|(.*http.*)|(.*script.*)/i', $_GET['referer'])) {
                $_GET['referer'] = 'index.php';
        }
}

Aprite il file viewlog.php, trovate
Code: [Select]
if (!isset($log)) {
        display_log_list();
} else {
               display_log($log);
}
e rimpiazzatelo con
Code: [Select]
// If log variable not set or log file's directory is not current directory then display logs list else display log with given name stripping risky characters from it
if (!isset($log) || dirname($log) != '.') {
        display_log_list();
} else {
        display_log(ereg_replace('\.|/|%00', '', $log));
}

Un ringraziamento da parte del dev-team va all'utente L4teral che ha scovato la vulnerabilitÓ ed ha permesso di trovare una soluzione rapida.

Link all'annuncio ufficiale (in inglese)
« Last Edit: November 07, 2007, 09:47:39 am by Lontano »
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu
Re: Aggiornamento sicurezza cpg1.4.13 - upgrade obbligatorio
« Reply #1 on: September 19, 2007, 11:08:39 pm »

Piccola nota a margine per gli utilizzatori del Modpack di Stramm. Al momento non Ŕ ancora stata preparata una versione 1.4.13 del Modpack: consigliamo di mettere in atto il fix manuale al pi¨ presto per coprire la possibile vulnerabilitÓ della vostra galleria e tenete sotto controllo la sezione in inglese, presto dovrebbe essere rilasciata la nuova versione.
La versione 1.4.13 del Modpack Ŕ disponibile a questo link
« Last Edit: September 24, 2007, 05:55:02 pm by Lontano »
Logged
Pages: [1]   Go Up
 

Page created in 0.016 seconds with 18 queries.