Sicherheitswarnung für CPG - von Andi

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[grafikmurkser]

Hallo ,
Andi hatte heute dieses Posting ins Forum gesetzt :
http://www.pragmamx.org/Forum-topic-31336-start-msg198835.html#new

leider ist daraus nicht ersichtlich welche Konsequenzen sich durch das provisirische Update ergeben. Gibt es Einschränkungen bei den Funktionen ? Oder läuft die Galerie trotzdem "fehlerfrei" ?

[waltkemper]

Hallo.

Ich habe bei mir keine Fehler feststellen können. Habe aber die Funktionen nur mal eben angecheckt.

Grüße

[xmjay]

Hi !

Ich habe bei mir keine Fehler feststellen können.

Dito 
Habe bisher lediglich die Grundfunktionen (inkl. hochladen) durchgeführt.

[Sitki]

Also, beim besten Willen, diese Rückfrage verstehe wer will. Die Konsequenz wird sein, dass die besagte Sicherheitslücke geschlossen wird.

Was erwartest du jetzt. Andere prüfen lassen, damit dir diese sagen, dass alles in Ordnung ist! Sorry, aber das Spielchen machen wir hier nicht mit. In dem Thread steht doch genau drin, was zu tun ist. Also entweder danach verfahren, oder bleiben lassen. Wenn dadurch wieder erwarten Probleme auftreten sollten, dann im entsprechenden Forumsbereich mit genauer Fehlerbeschreibung. Im vornherein darüber zu mutmaßen bringt nichts außer dass du dir Gedanken um ungelegte Eier machst. Hier mache ich zu.

[Andi]

Jop, wie Sitki schon schreibt    


Trotzdem kurz ne Bemerkung dazu...
Wären mir negative Auswirkungen bekannt oder bewusst, dann hätte ich das hier geschrieben.

Das Löschen der image_processor.php hat gar keine Konsequenzen, für alle User, die sich noch nicht bewusst mit dieser Datei beschäftigt haben. Die wird standardmässig überhaupt nicht von der Coppermine verwendet und muss expliziet im Code aktiviert werden. Im Coppermine Forum habe ich nur das dazu gefunden:
http://forum.coppermine-gallery.net/index.php/topic,194.0.html

Ansonsten findet sich alles über die Sicherheitslücke hier:
http://forum.coppermine-gallery.net/index.php/topic,64734.0.html

Die restlichen Änderungen im Original finden sich im Changelog des Originals:

2010-05-24 [ M] Release of cpg1.4.27 {GauGau}
2010-05-20 [ B] Fixed error message that complains about ereg being deprecated in include/debugger.inc.php for most recent PHP versions (thread ID 63200) {GauGau}
2010-05-20 [ S] Fixed potential XSS issues (thread ID 64734) {eenemeenemuu}
2010-03-23 [ M] Updated version count from cpg1.4.26 to cpg1.4.27 in subversion repository as a preparation for a possible future release {GauGau}
2010-02-01 [ M] Release of cpg1.4.26 {GauGau}

Die einzige sonst wichtige Änderung wegen der debugger.inc.php ist für die pragmaMx Version völlig unrelevant, weil dieser Fehler in unserer Version 1.4.26 bereits behoben war/ist:

pragmaMx debugger.inc.php:

Code: [Select]  

<?php// changes for pragmaMx
#define('CAN_MOD_INI', !ereg('ini_set', ini_get('disable_functions')));
define('CAN_MOD_INI', (!@ini_get('disable_functions') || strpos(@ini_get('disable_functions'), 'ini_set')===false));
#error_reporting(E_ALL);
#$cpgdebugger =& new cpg_debugger();
$cpgdebugger = new cpg_debugger();
// end changes for pragmaMx
?>

Die beiden beschriebenen Änderungen sind also der komplette Patch für die Sicherheitslücke und gleichzeitig ein vollständiges Update auf Version 1.4.27.