Sicherheitswarnung für CPG - von Andi

Begonnen von grafikmurkser, 28 Mai 2010, 17:03:45

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

grafikmurkser

Hallo ,
Andi hatte heute dieses Posting ins Forum gesetzt :
http://www.pragmamx.org/Forum-topic-31336-start-msg198835.html#new

leider ist daraus nicht ersichtlich welche Konsequenzen sich durch das provisirische Update ergeben. Gibt es Einschränkungen bei den Funktionen ? Oder läuft die Galerie trotzdem "fehlerfrei" ?
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

waltkemper

Hallo.

Ich habe bei mir keine Fehler feststellen können. Habe aber die Funktionen nur mal eben angecheckt.

Grüße

xmjay

Hi !

Zitat von: waltkemper am 28 Mai 2010, 17:13:14
Ich habe bei mir keine Fehler feststellen können.

Dito  :)
Habe bisher lediglich die Grundfunktionen (inkl. hochladen) durchgeführt.
CMS-Version: pragmaMx 1.12.3 | PHP-Version: 5.2.12 | MySQL-Version: 5.1.66

Sitki

#3
Also, beim besten Willen, diese Rückfrage verstehe wer will. Die Konsequenz wird sein, dass die besagte Sicherheitslücke geschlossen wird.

Was erwartest du jetzt. Andere prüfen lassen, damit dir diese sagen, dass alles in Ordnung ist! Sorry, aber das Spielchen machen wir hier nicht mit. In dem Thread steht doch genau drin, was zu tun ist. Also entweder danach verfahren, oder bleiben lassen. Wenn dadurch wieder erwarten Probleme auftreten sollten, dann im entsprechenden Forumsbereich mit genauer Fehlerbeschreibung. Im vornherein darüber zu mutmaßen bringt nichts außer dass du dir Gedanken um ungelegte Eier machst. Hier mache ich zu.
viele Grüße

Kein Support über PN, Mail oder Messenger!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Andi

#4
Jop, wie Sitki schon schreibt  :cul:  ;)


Trotzdem kurz ne Bemerkung dazu...
Wären mir negative Auswirkungen bekannt oder bewusst, dann hätte ich das hier geschrieben.

Das Löschen der image_processor.php hat gar keine Konsequenzen, für alle User, die sich noch nicht bewusst mit dieser Datei beschäftigt haben. Die wird standardmässig überhaupt nicht von der Coppermine verwendet und muss expliziet im Code aktiviert werden. Im Coppermine Forum habe ich nur das dazu gefunden:
http://forum.coppermine-gallery.net/index.php/topic,194.0.html

Ansonsten findet sich alles über die Sicherheitslücke hier:
http://forum.coppermine-gallery.net/index.php/topic,64734.0.html

Die restlichen Änderungen im Original finden sich im Changelog des Originals:

Zitat2010-05-24 [ M] Release of cpg1.4.27 {GauGau}
2010-05-20 [ B] Fixed error message that complains about ereg being deprecated in include/debugger.inc.php for most recent PHP versions (thread ID 63200) {GauGau}
2010-05-20 [ S] Fixed potential XSS issues (thread ID 64734) {eenemeenemuu}
2010-03-23 [ M] Updated version count from cpg1.4.26 to cpg1.4.27 in subversion repository as a preparation for a possible future release {GauGau}
2010-02-01 [ M] Release of cpg1.4.26 {GauGau}

Die einzige sonst wichtige Änderung wegen der debugger.inc.php ist für die pragmaMx Version völlig unrelevant, weil dieser Fehler in unserer Version 1.4.26 bereits behoben war/ist:

pragmaMx debugger.inc.php:<?php// changes for pragmaMx
#define('CAN_MOD_INI', !ereg('ini_set', ini_get('disable_functions')));
define('CAN_MOD_INI', (!@ini_get('disable_functions') || strpos(@ini_get('disable_functions'), 'ini_set')===false));
#error_reporting(E_ALL);
#$cpgdebugger =& new cpg_debugger();
$cpgdebugger = new cpg_debugger();
// end changes for pragmaMx
?>


Die beiden beschriebenen Änderungen sind also der komplette Patch für die Sicherheitslücke und gleichzeitig ein vollständiges Update auf Version 1.4.27.
schön´s Grüssle, Andi