[Solved] Problem nach Update auf ...22 Version

grafikmurkser · 01 Mai 2009, 20:55:38

Hallo @ all

meine User klagen darüber das seid dem Update Links in den Bildbeschreibungen nicht mehr funktionieren ..
siehe hier :
http://www.fraktal-schmiede.de/modules.php?name=Gallery&act=displayimage&album=lastup&cat=0&pos=7
In der Bildbeschreibung steht eine URL- welche vor dem Update ein aktiver Link war. Seid dem Update steht hinter der URL ein Dreieck . Bei welchem sich ein Mouseover-Hinweis öffnet, wenn man mit der Maus darüber fährt .Die Url ist nicht mehr anklickbar.
Ist dies so gewollt ?

Sitki · 01 Mai 2009, 21:16:42

Hi

die BBCode Tags [ u r l ] und [ i m g ] wurden aus Sicherheitsgründen bereits durch das Upgrade auf CPG1.4.21 deaktiviert.

Weiterführender Link zum Thema in der CPG Doku.
http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#bbcode

grafikmurkser · 01 Mai 2009, 22:22:46

Zitatdie BBCode Tags [ u r l ] und [ i m g ] wurden aus Sicherheitsgründen bereits durch das Upgrade auf CPG1.4.21 deaktiviert.

tjo diese Version gab es hier aber nie .. deswegen waren die user jetzt überrascht ..
vielen Dank für die Info ...

da meine Englischkenntnisse aber unter aller S.. sind kommt ich mit dem Text nicht klar:

ZitatWe realize that some administrators will want to process [img] and [url] tags correctly. The Coppermine dev team is working on a solution for cpg1.5 and also one that can be applied to cpg1.4. Information can be found on this thread on the Coppermine support forum. For those who want to hack the code themselves, the relevant function is bb_decode() in include/functions.inc.php. Please be very careful to address CSRF attacks and read as much as you can about them before going live on your website with your hacked fix.

Kann den jemand bitte , sinngemäss, übersetzen ?

breakdancer · 02 Mai 2009, 10:42:39

Wir haben festgestellt, dass einige Administratoren den [img] und den [url] Tag korrekt nutzen möchten. Das Coppermine-Entwickler Team arbeitet an einer Lösung für die CPG 1.5 und auch an einer, die bei der Version 1.4 genutzt werden kann. Informationen können in diesem Thread im Coppermine Support-Forum gefunden werden. Für diejenigen, die den Code selbst anpassen möchten, ist die relevante Funktion die bb_decode() in der Datei include/functions.inc.php. Bitte seien Sie sehr genau, CSRF Attacken zu berücksichtigen (Anm. d. Ü. Man soll halt dringend schauen, sich bei einer eigenständigen Änderung keine Sicherheitslöcher in Bezug auf CSRF Angriffe zu reissen) und lesen Sie darüber erst einmal so viel Sie können, bevor Sie mit ihrer geänderten Datei auf Ihrem Webserver "live" gehen.

Viele Grüße

Markus

grafikmurkser · 02 Mai 2009, 13:14:38

vielen Dank

martin b · 02 Mai 2009, 15:37:12

Zitat von: breakdancer am 02 Mai 2009, 10:42:39
Das Coppermine-Entwickler Team arbeitet an einer Lösung für die CPG 1.5 und auch an einer, die bei der Version 1.4 genutzt werden kann.

Da kann man gespannt sein, denn ein Link bleibt ein Link, bleibt ein Link.........

Jedenfalls ganz schön ärgerlich, dass das jetzt erst auffällt! Zitat aus der Info zur Version: "Über die URL kann ein Angreifer die Kontrolle über die Webseite erlangen." Ich habe bislang fast 600 HTML-Seiten für die Links erstellt und nun das. Klasse!!

Gruß
martin b

Andi · 02 Mai 2009, 19:07:05

Moin

http://www.pragmamx.org/Forum-topic-28850.html

ZitatNach erster Prüfung, kann diese Sicherheitslücke in der pragmaMx Portierung der Coppermine nicht ausgenutzt werden, da das Usermanagement komplett über die Bridgefunktionen gesteuert wird.

Ich will das im Laufe der Woche nochmal genauer prüfen.
Glaube aber nicht, dass sich an der Aussage was ändert

martin b · 07 Mai 2009, 12:46:26

@All

Im deutschsprachigen Coppermine Forum wird das Problem ziemlich gut beschrieben. Link: *** von Andi entfernt ***

Wer keine anderen User Kommentare schreiben läßt, egal ob Gast oder registriert, der kann auch weiterhin die 1.4.20 verwenden. Das ist die letzte Version, mit der Links möglich sind.

Gruß
martin b

Andi · 09 Mai 2009, 09:40:17

Moin

ich habe gerade nochmal den betroffenen Code genauer angesehen.
Also, in "gebridgten" Coppermine Versionen lässt sich dieser Adminexploit überhaupt nicht anwenden.
Die pragmaMx Version ist von diesem Hack nicht betroffen.

Zur Erklärung, hier die massgebliche Codezeile, aus der delete.php:

Code Auswählen

if (!(GALLERY_ADMIN_MODE) || ($user_id == USER_ID) || UDB_INTEGRATION != 'coppermine') cpg_die(ERROR, $lang_errors['perm_denied'], __FILE__, __LINE__);

Die Konstante UDB_INTEGRATION steht in der pragmaMx Version auf "pragmamx", nicht auf "coppermine". Es wird also eine Fehlermeldung angezeigt:

ZitatSie haben nicht das Recht, diese Operation auszuführen.

Da sich in unserer Coppermine Version 1.4.22 sowieso ein paar kleine Fehler eingeschlichen haben, werde ich in den nächsten Tagen ein kleines Update zusammenpacken, wo die abgeschalteten bbCode's wieder aktiviert sind.

@ martin b
Ich habe den Link zu dem 'merkwürdigen' Coppermine Forum entfernt. Was dort geschrieben ist, ist eine exakte Anleitung um den Hack auf anderen Coppermine Installationen anzuwenden. Sowas ist verantwortungslos von dem Forenbetreiber und das unterstützen wir nicht.
Das offizielle deutschsprachige Coppermine Forum ist das: http://coppermine-gallery.net/forum/index.php?board=67.0

martin b · 09 Mai 2009, 09:53:29

Hallo Andi

Ich hattte den Link auch nur reingesetzt, damit du dir das ansehen kannst! Jedenfalls scheint es ja geholfen zu haben, das Problem zu verifizieren und eine Lösung zu finden. Wenn dann noch die Links wieder funktionieren sind vermutlich Alle wieder happy.

Schönes Wochenende

martin b

grafikmurkser · 09 Mai 2009, 09:56:57

das ist eine echt tolle Nachricht @ Andi

Andi · 09 Mai 2009, 10:08:49

Moin

ich muss gestehen, dass ich mir den Link erst heute angesehen habe. Allerdings kannte ich diesen Thread in diesem Forum bereits. Hätte nicht gedacht, dass der hier verlinkt wird, auf die url mit .de habe ich nicht geachtet

Das Problem war/ist mir schon bekannt. Ich stehe in guten Kontakt zum Coppermine Team und ich habe mit Joachim Müller, dem Teamleiter, bereits darüber geredet...
Mit dem Link hast du mich aber zum sofortigen Handeln animiert, so dass ich den verschwinden lassen kann

Zufälligerweise sind alle kleinen Fehler und Probleme der pragmaMx-1.4.22 durch versch. Änderungen in der {modul-pfad}/include/functions.inc.php zu beheben.
Vorab für alle die geänderte Datei anbei.

- Versionsinfo im Popup korrigiert, http://www.pragmamx.org/Forum-topic-29239.html
- falschen Link zu Hilfetooltips korrigiert, http://www.pragmamx.org/Forum-topic-29247.html
- bbCode wieder aktiviert (dieser Thread)

grafikmurkser · 09 Mai 2009, 10:18:12

Hallo Andi, ich meld mich gleich- ob alles klappt oder nicht ..

edit: funktioniert einwandfrei

martin b · 09 Mai 2009, 10:26:34

Hi
Link funktioniert und Version wird angezeigt (ganz unten rechts). Danke!!

Gruß
martin b

xmjay · 09 Mai 2009, 11:22:22

Moinsen !

Yeppa, die Version wird korrekt angezeigt und die Tooltipps funzen !

:skipping:

Andi · 11 Mai 2009, 09:43:12

Hoi

Update: http://www.pragmamx.org/Forum-topic-29292.html