Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Patch per le versioni 1.4.2x (evita di perdere i tag BBcode img e url)  (Read 6396 times)

0 Members and 2 Guests are viewing this topic.

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle

Coloro che vogliano proteggersi contro le falle di sicurezza note dalla v. 1.4.20 senza perdere l'uso dei tab BBCode img ed url, troveranno utile questo fix da me elaborato.
Testato personalmente dal sottoscritto, rende inoffensivi gli attacchi menzionati e tutti quelli basati su dati inviati tramite query string dalla pagina delete.php

La patch è compatibile con tutte le versioni di Coppermine a partire dalla 1.4.20; per quelle successive alla 1.4.20 è richiesto il ripristino della precedente versione della funzione bb_decode in include/functions.inc.php, come specificato nel post linkato sopra.
A disposizione per supporto nell'applicazione.
« Last Edit: May 06, 2009, 10:12:15 am by Ludo »
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu

Particolarmente interessante ed utile per chi utilizza/ha utilizzato i tags nella sua galleria.
Seguo con interesse ;-)

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle

Massimo rispetto per gli sviluppatori, ma il rimedio da me escogitato mi pare senz'altro meno rozzo e costoso, in termini di funzionalità della Galleria, di quello accolto nella v. 1.4.21, che tra parentesi incide sull'effetto trascurando la causa. Nel mio primo approccio al problema, avevo dato per scontato l'uso del metodo POST nei moduli che inseriscono o modificano dati, in quanto consolidata pratica di buona scrittura del codice PHP (vedasi la data dell'articolo citato da F.F.), e invece ad una lettura attenta del codice...ecco la falla! Insomma, non c'è alcuna ragione per cui la suddetta patch non sia quantomeno introdotta al volo nella 1.4.21, anche volendo mantenere il pessimo accrocchio che vanifica i tag BBCode img e url (magari lasciando liberi gli utenti di attivarlo o meno)...
Se poi mi si viene a dire che l'accertata soluzione agli specifici exploits in questione potrebbe non proteggere la galleria nei confronti di nuove forme di attacco non ancora note...allora lo stesso avrebbe dovuto valere per ogni e qualsiasi patch ufficiale finora rilasciata, o no?
Un po' di umiltà e spirito open-source in più a volte non guasterebbe...
« Last Edit: March 27, 2009, 04:52:01 pm by Ludo »
Logged

VEGA

  • Coppermine frequent poster
  • ***
  • Offline Offline
  • Gender: Male
  • Posts: 323
    • maranimage

e per fortuna che c'è il sor Ludo  :D fatte rispettà!!

senti una cosa: quando dici si "declina ogni responsabilità" intendi dire che la modifica è sicura, ma se trovano altri exploit non è colpa tua (giustamente). Te lo chiedo perchè questa tua modifica non l'ho applicata ancora  :-\
Logged

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle

Come vedi, di fronte all'osservazione "Sì, ma sicuramente a breve salteran fuori nuovi exploit" ho lasciato perdere...  ::)
Ora ho tolto dal primo post l'inciso in cui declinavo responsabilità per futuri exploit attualmente non noti, proprio per quel che si diceva sopra: la patch serve per difendersi da quelli specificamente indicati come oggetto della v. 1.4.21 e - al contrario di quest'ultima - da tutti quelli attuati tramite query string dalla pagina delete.php, ma del doman non v'è certezza (cit.)  ;D
« Last Edit: March 28, 2009, 09:23:04 am by Ludo »
Logged

VEGA

  • Coppermine frequent poster
  • ***
  • Offline Offline
  • Gender: Male
  • Posts: 323
    • maranimage

.....chi vuol esser lieto sia  ;D

e la modifica l'applico pure io. Adesso il primo exploit che si fa sotto...ci spezziam le corn!  8)
Logged

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle

Testo del messaggio iniziale aggiornato per meglio chiarire che la patch è tranquillamente applicabile a tutte le versioni dalla 1.4.20
Moderatori, che ne dite di mettere il post in evidenza?  8) :-*
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu

Aggiunto nel topic "FAQ in italiano di Coppermine, trucchi, plugins, hacks, mods, etc..." qui sopra in evidenza.
Pages: [1]   Go Up
 

Page created in 0.031 seconds with 19 queries.