pragmaMx Support Forum

Archive => veraltete bzw. unsupportete Systeme und Module => Alt Archive => Coppermine-Mx => Thema gestartet von: grafikmurkser am 28 Mai 2010, 17:03:45

Titel: Sicherheitswarnung für CPG - von Andi
Beitrag von: grafikmurkser am 28 Mai 2010, 17:03:45
Hallo ,
Andi hatte heute dieses Posting ins Forum gesetzt :
http://www.pragmamx.org/Forum-topic-31336-start-msg198835.html#new

leider ist daraus nicht ersichtlich welche Konsequenzen sich durch das provisirische Update ergeben. Gibt es Einschränkungen bei den Funktionen ? Oder läuft die Galerie trotzdem "fehlerfrei" ?
Titel: Re: Sicherheitswarnung für CPG - von Andi
Beitrag von: waltkemper am 28 Mai 2010, 17:13:14
Hallo.

Ich habe bei mir keine Fehler feststellen können. Habe aber die Funktionen nur mal eben angecheckt.

Grüße
Titel: Re: Sicherheitswarnung für CPG - von Andi
Beitrag von: xmjay am 28 Mai 2010, 17:21:16
Hi !

Zitat von: waltkemper am 28 Mai 2010, 17:13:14
Ich habe bei mir keine Fehler feststellen können.

Dito  :)
Habe bisher lediglich die Grundfunktionen (inkl. hochladen) durchgeführt.
Titel: Re: Sicherheitswarnung für CPG - von Andi
Beitrag von: Sitki am 28 Mai 2010, 18:46:43
Also, beim besten Willen, diese Rückfrage verstehe wer will. Die Konsequenz wird sein, dass die besagte Sicherheitslücke geschlossen wird.

Was erwartest du jetzt. Andere prüfen lassen, damit dir diese sagen, dass alles in Ordnung ist! Sorry, aber das Spielchen machen wir hier nicht mit. In dem Thread steht doch genau drin, was zu tun ist. Also entweder danach verfahren, oder bleiben lassen. Wenn dadurch wieder erwarten Probleme auftreten sollten, dann im entsprechenden Forumsbereich mit genauer Fehlerbeschreibung. Im vornherein darüber zu mutmaßen bringt nichts außer dass du dir Gedanken um ungelegte Eier machst. Hier mache ich zu.
Titel: Re: Sicherheitswarnung für CPG - von Andi
Beitrag von: Andi am 28 Mai 2010, 20:06:39
Jop, wie Sitki schon schreibt  :cul:  ;)


Trotzdem kurz ne Bemerkung dazu...
Wären mir negative Auswirkungen bekannt oder bewusst, dann hätte ich das hier geschrieben.

Das Löschen der image_processor.php hat gar keine Konsequenzen, für alle User, die sich noch nicht bewusst mit dieser Datei beschäftigt haben. Die wird standardmässig überhaupt nicht von der Coppermine verwendet und muss expliziet im Code aktiviert werden. Im Coppermine Forum habe ich nur das dazu gefunden:
http://forum.coppermine-gallery.net/index.php/topic,194.0.html

Ansonsten findet sich alles über die Sicherheitslücke hier:
http://forum.coppermine-gallery.net/index.php/topic,64734.0.html

Die restlichen Änderungen im Original finden sich im Changelog des Originals:

Zitat2010-05-24 [ M] Release of cpg1.4.27 {GauGau}
2010-05-20 [ B] Fixed error message that complains about ereg being deprecated in include/debugger.inc.php for most recent PHP versions (thread ID 63200) {GauGau}
2010-05-20 [ S] Fixed potential XSS issues (thread ID 64734 (http://forum.coppermine-gallery.net/index.php/topic,64734.0.html)) {eenemeenemuu}
2010-03-23 [ M] Updated version count from cpg1.4.26 to cpg1.4.27 in subversion repository as a preparation for a possible future release {GauGau}
2010-02-01 [ M] Release of cpg1.4.26 {GauGau}

Die einzige sonst wichtige Änderung wegen der debugger.inc.php ist für die pragmaMx Version völlig unrelevant, weil dieser Fehler in unserer Version 1.4.26 bereits behoben war/ist:

pragmaMx debugger.inc.php:<?php// changes for pragmaMx
#define('CAN_MOD_INI', !ereg('ini_set', ini_get('disable_functions')));
define('CAN_MOD_INI', (!@ini_get('disable_functions') || strpos(@ini_get('disable_functions'), 'ini_set')===false));
#error_reporting(E_ALL);
#$cpgdebugger =& new cpg_debugger();
$cpgdebugger = new cpg_debugger();
// end changes for pragmaMx
?>


Die beiden beschriebenen Änderungen sind also der komplette Patch für die Sicherheitslücke und gleichzeitig ein vollständiges Update auf Version 1.4.27.