Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: CPG 1.4.22 Actualización por seguridad - OBLIGATORIO  (Read 2946 times)

0 Members and 1 Guest are viewing this topic.

Fabricio Ferrero

  • Moderator
  • Coppermine addict
  • ****
  • Country: 00
  • Offline Offline
  • Gender: Male
  • Posts: 1996
  • From San Juan, Argentina, to the World!
    • http://fabricioferrero.com/
CPG 1.4.22 Actualización por seguridad - OBLIGATORIO
« on: May 03, 2009, 01:41:38 am »

El equipo de desarrollo de Coppermine ha lanzado la versión 1.4.22. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.

Descargá la version completa de Coppermine Photo Gallery v1.4.22 (desde aqui) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador.


Para aquellos que quieran actualizar la galería manualmente, abri el archivo docs/showdoc.php y buscá:

Code: [Select]
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);

Y remplazalas por las siguientes lineas:

Code: [Select]
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);


La versión 1.4.22 fue lanzada porque se descubrió una vulnerabilidad de Cross site scripting la cual hacía posible la inclusión de código malisioso.


Muchas gracias a Gerendi Sandor Attila quién descubrió la vulnerabilidad y a Nibbler que descubrió la solución.



Muchas Gracias,

Equipo Coppermine,
-- Fabricio Ferrero --
Logged
Read Docs and Search the Forum before posting. - Soporte en español
--*--
Fabricio Ferrero's Website

Catching up! :)
Pages: [1]   Go Up
 

Page created in 0.013 seconds with 19 queries.