pragmaMx Support Forum pragmaMx Support Forum

Sicherheitswarnung für CPG - von Andi

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline grafikmurkser

  • *******
  • 1.860
  • +13/-59
  • Geschlecht: Männlich
Sicherheitswarnung für CPG - von Andi
« am: 28 Mai 2010, 17:03:45 »
Hallo ,
Andi hatte heute dieses Posting ins Forum gesetzt :
http://www.pragmamx.org/Forum-topic-31336-start-msg198835.html#new

leider ist daraus nicht ersichtlich welche Konsequenzen sich durch das provisirische Update ergeben. Gibt es Einschränkungen bei den Funktionen ? Oder läuft die Galerie trotzdem "fehlerfrei" ?
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Offline waltkemper

  • ****
  • 335
  • +2/-10
Re: Sicherheitswarnung für CPG - von Andi
« Antwort #1 am: 28 Mai 2010, 17:13:14 »
Hallo.

Ich habe bei mir keine Fehler feststellen können. Habe aber die Funktionen nur mal eben angecheckt.

Grüße

Offline xmjay

  • *******
  • 1.611
  • +9/-3
  • Geschlecht: Männlich
Re: Sicherheitswarnung für CPG - von Andi
« Antwort #2 am: 28 Mai 2010, 17:21:16 »
Hi !

Ich habe bei mir keine Fehler feststellen können.

Dito  :)
Habe bisher lediglich die Grundfunktionen (inkl. hochladen) durchgeführt.
CMS-Version: pragmaMx 1.12.3 | PHP-Version: 5.2.12 | MySQL-Version: 5.1.66

Offline Sitki

  • ******
  • 3.747
  • +0/-0
  • Geschlecht: Männlich
Re: Sicherheitswarnung für CPG - von Andi
« Antwort #3 am: 28 Mai 2010, 18:46:43 »
Also, beim besten Willen, diese Rückfrage verstehe wer will. Die Konsequenz wird sein, dass die besagte Sicherheitslücke geschlossen wird.

Was erwartest du jetzt. Andere prüfen lassen, damit dir diese sagen, dass alles in Ordnung ist! Sorry, aber das Spielchen machen wir hier nicht mit. In dem Thread steht doch genau drin, was zu tun ist. Also entweder danach verfahren, oder bleiben lassen. Wenn dadurch wieder erwarten Probleme auftreten sollten, dann im entsprechenden Forumsbereich mit genauer Fehlerbeschreibung. Im vornherein darüber zu mutmaßen bringt nichts außer dass du dir Gedanken um ungelegte Eier machst. Hier mache ich zu.
« Letzte Änderung: 28 Mai 2010, 18:50:58 von Sitki »
viele Grüße
Kein Support über PN, Mail oder Messenger!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
Re: Sicherheitswarnung für CPG - von Andi
« Antwort #4 am: 28 Mai 2010, 20:06:39 »
Jop, wie Sitki schon schreibt  :cul:  ;)


Trotzdem kurz ne Bemerkung dazu...
Wären mir negative Auswirkungen bekannt oder bewusst, dann hätte ich das hier geschrieben.

Das Löschen der image_processor.php hat gar keine Konsequenzen, für alle User, die sich noch nicht bewusst mit dieser Datei beschäftigt haben. Die wird standardmässig überhaupt nicht von der Coppermine verwendet und muss expliziet im Code aktiviert werden. Im Coppermine Forum habe ich nur das dazu gefunden:
http://forum.coppermine-gallery.net/index.php/topic,194.0.html

Ansonsten findet sich alles über die Sicherheitslücke hier:
http://forum.coppermine-gallery.net/index.php/topic,64734.0.html

Die restlichen Änderungen im Original finden sich im Changelog des Originals:

Zitat
2010-05-24 [ M] Release of cpg1.4.27 {GauGau}
2010-05-20 [ B] Fixed error message that complains about ereg being deprecated in include/debugger.inc.php for most recent PHP versions (thread ID 63200) {GauGau}
2010-05-20 [ S] Fixed potential XSS issues (thread ID 64734) {eenemeenemuu}
2010-03-23 [ M] Updated version count from cpg1.4.26 to cpg1.4.27 in subversion repository as a preparation for a possible future release {GauGau}
2010-02-01 [ M] Release of cpg1.4.26 {GauGau}

Die einzige sonst wichtige Änderung wegen der debugger.inc.php ist für die pragmaMx Version völlig unrelevant, weil dieser Fehler in unserer Version 1.4.26 bereits behoben war/ist:

pragmaMx debugger.inc.php:<?php// changes for pragmaMx
#define('CAN_MOD_INI', !ereg('ini_set', ini_get('disable_functions')));
define('CAN_MOD_INI', (!@ini_get('disable_functions') || strpos(@ini_get('disable_functions'), 'ini_set')===false));
#error_reporting(E_ALL);
#$cpgdebugger =& new cpg_debugger();
$cpgdebugger = new cpg_debugger();
// end changes for pragmaMx
?>

Die beiden beschriebenen Änderungen sind also der komplette Patch für die Sicherheitslücke und gleichzeitig ein vollständiges Update auf Version 1.4.27.
« Letzte Änderung: 28 Mai 2010, 20:11:37 von Andi »
schön´s Grüssle, Andi