Текущая стабильная версия -
1.4.26 (stable) cpg1.4.26 Security release - обязательное обновление! http://forum.coppermine-gallery.net/index.php/topic,63510.0.html+ 1 Февраля 2010 Команда Coppermine выпускает обновления для системы безопасности Coppermine в целях борьбы с недавно обнаруженной уязвимостью. Важно, чтобы все пользователи, которые используют версию cpg1.4.25 или ниже, произвели обновление до данной версии как можно скорее.
Как произвести обновление:
Пользователи, использующие версию до 1.4.26, должны немедленно обновиться,
скачав самую последнюю версию со
страницы загрузок и следовать
процедуре обновления в документации.
Те пользователи, которые хотят исправить уязвимость вручную, должны:
открыть файл
upload.php,
найти код
echo "<tr><td>{$URI_failure_array[$i]['failure_ordinal']} {$URI_failure_array[$i]['URI_name']}</td><td>{$URI_failure_array[$i]['error_code']}</td></tr>";
и заменить его на код
echo "<tr><td>{$URI_failure_array[$i]['failure_ordinal']} ".htmlentities($URI_failure_array[$i]['URI_name'])."</td><td>{$URI_failure_array[$i]['error_code']}</td></tr>";
Поддержка:
Если у Вас возникли проблемы с данным обновлением, пожалуйста, используйте
раздел посвященный обновлениям (на английском языке). Пожалуйста, не размещайте ваши сообщения в данной теме - ваши сообщения будут удалены без предупреждения.
Почему была выпущена версия cpg1.4.26?Релиз охватывает недавно обнаруженную уязвимость проверки входных данных, которая позволяет (если не внести исправление) злоумышленнику задействовать собственные процедуры сценария (
тема (на английском языке)).
Кроме того, версия cpg1.4.26 включает в себя исправления для следующих не связанных с безопасностью проблем:
- Внесены дополнения в модуле интеграции vBulletin для отражения изменений с vB3.x до vB4.x
- В менеджере плагинов добавлена проверка требований версии - портированная функция с cpg1.5.x (тема (на английском языке))
- Обновлен Итальянский языковый файл
- Исправлена ошибка, связанная с ошибочным отказом в доступе при проверке прав в механизме обрезания/поворота изображений
- Исправлена ошибка, связанная кэширование при использовании механизма веб-публикаций (xp publisher)
- Исправлена ошибка, связанная с созданием альбомов в механизме веб-публикаций (xp publisher) при включенном строгом режиме MySQL (strict mode)
- Исправлена ошибка в модуле интеграции, связанная с созданием альбомов через механизм веб-публикаций (xp publisher)
- Обновлен Немецкий языковый файл (добавлены пропущенные строчки)
- Обновлен модуль интеграции для MyBB до версии 1.4
- Обновлен Чешский языковый файл (вклад пользователя)
- Обновлен Словацкий языковый файл (вклад пользователя)
- Обновлен Итальянский языковый файл (вклад пользователя)
Спасибо
Aditya Mooley за разработку исправления и спасибо Ivan Buetler и команде GESEC за обнаружение уязвимости.
Спасибо,
Команда Coppermine