2008 avr. 18
Par Olivier - News - Lien permanent
C'est la semaine des mises à jour de sécurité. Il y a des moments comme ça. Dotclear 1.2.8 vient donc de sortir afin de régler un problème mineur concernant l'envoi de fichiers depuis le gestionnaire d'images.
Une personne mal intentionnée peut envoyer un fichier PHP qui ressemble à une image (et passe donc le seul contrôle effectué) mais contenant du code PHP. Le problème a été corrigé en imposant une restriction aux extensions jpg, jpeg, gif, png, bmp et tiff pour ce qui concerne l'envoi d'images sur le blog.
Sont particulièrement concernés tous ceux qui utilisent un blog Dotclear 1.2.x avec d'autres utilisateurs. Pour mettre à jour, vous pouvez télécharger la dernière version et suivre la procédure habituelle de mise à jour. Vous pouvez également vous contenter de changer le fichier ecrire/images.php par celui-ci.
Comme toujours, cette mise à jour est recommandée pour tout le monde :)
PS: Pour Dotclear 2, quelques explications (et une nouvelle option).
Commentaires
Merci bien pour cette correction mineur mais qui prouve la qualité du support de cette plateforme de blog qu'est Dotclear !
Si on ne fait qu'un remplacement de fichier, le fichier /dotclear/VERSION est également à éditer en 1.2.8, non ?
+1 :-)
Oui, on peut aussi changer VERSION mais c'est pas vraiment le plus important dans l'affaire :)
Bonjour,
c'est amusant que cette nouvelle version mette à jour le fichier images.php, car je me posais ce matin une question (un bug ?) à propos de ce fichier.
http://forum.dotclear.net/viewtopic...
Pour résumer, lors de l'envoi d'une nouvelle image, si on veut l'inclure directement et qu'on clique sur sa miniature, ça ne fonctionne pas et ça affiche l'image en taille réelle dans la fenêtre de gestion des images.
Je viens de vérifier dans le code de la version 1.2.8, et la fameuse ligne 36 est toujours la même :
$mode = !isset($mode) ? '' : $mode;
alors que pour corriger ce problème, il faudrait :
$mode = !isset($mode) ? $_REQUEST['mode'] : $mode;
Je ne sais pas quel est le changement technique derrière ça, donc je ne sais pas si c'est bien de faire ça ou autre, mais apparemment, ça résout le problème.
My 2 cents...
[mode feignasse] Et sinon, y'aura un patch pkg.gz ? :)
Mise à jour faite ! Merci pour ce suivi sécurité très appréciable.
Samedi 19 avr, la mise à jour de Pierre n'est pas encore repercutée dans le svn.
Restez vigilent ;)
>Pierre : ce souci ne semble survenir qu'avec certains hébergeurs, c'est pourquoi sans doute la solution n'a pas été intégrée dans la distribution.
Merci Pierre,
J'ai appliqué ta modification à l'occasion du passage à 128 et ça fonctionne très bien pour mes petites pitreries. Je trouvais cette petite ébarbure agaçante sans être vraiment gênante. Je gère plusieurs autres blogs tous hébergés chez ovh et le "bug" est constant.
Kouran : je ne sais pas s'il faut intégrer cette mise à jour dans le SVN, puisque je ne sais même pas s'il s'agit d'un bug ! Et je ne sais pas si cette modification apporte des effets de bords... parce que si ça se met à fonctionner chez Free et à déconner chez les autres hébergeurs, c'est pas vraiment un pas en avant !
Luc : ce n'est pas moi qu'il faut remercier, je me contente de faire du copier/coller :) Il faut remercier annso qui a eu le bon goût d'avoir le même problème à un moment et amalgame qui lui a apporté la solution ;)
Dis monsieur, un plug-in de mise à jour pour les feignasses, c'est possible ?
merci, j'ai fait la méthode du paresseux en ne copiant que le fichier.
Image et Clickimage fonctionnent
Bonjour,
petit détail tout au début de l'article, il est écrit : "des mise(S) à jour deS sécurité".
Corrigé. Merci Moe. ;-)
De rien, mais j'avais pas vu (comme tout le monde) une autre typo juste après : "Il y a des moment" :)
J'ai un petit souci...
J'utilise dotclear depuis quelques moi sur plusieurs de mes sites, et sur le dernier en date... j'ai en souci avec la version 1.2.8 quant à l'utilisation du plugin Newsletter (qui marche sur les autres sites)... et qui l'a me sort une erreur smarty...
Quelqu un a une idée?
Merci Pierre !
Moi aussi chez OVH. Probleme mineur, mais probleme resolu !
Si on veut juste remplacer le fichier images.php et en plus faire en sorte que le numéro de version devienne 1.2.8, on doit modifier quoi ?
Merci pour la maj
j'utilise dotclea 1.2.5 , si je mets a jour cette version 1.2.8 quel va etre le changement est ce tout mes plugins vont fonctionner ?et ainsi de suite merci pour vos réponse
comment changer la présentation de l'en tête du blog une fois le blog installé?
rcober > http://petit.dotclear.net/pages/200... (et le forum pour les questions complémentaires).
I've finally found a normal presentation on this issue. Thank you.
je voudrai poster un fichi gif sur mon blog mais la taille de mon fichier dépasse les limitte autoriser même comprésé il y a t'il un moyen de pouvoir le metre ?? merci