Messages

1

Feedback & Suggestions / Re: 4images 1.7.2 - Feedback

« on: April 25, 2006, 02:18:04 PM »

Hm, hab schon die Suchfunktion rauf und runter durchgeorgelt aber offensichtlich ist folgendes Sicherheitsproblem noch nicht bis hierher durchgedrungen:

Description:
Qex has discovered a vulnerability in 4images, which can be exploited by malicious people to conduct script insertion attacks.

Input passed to the "user_name" parameter in "register.php" isn't properly sanitised before being used. This can be exploited to inject arbitrary HTML and script code, which will be executed in a user's browser session in context of an affected site when the malicious user data is viewed.

The vulnerability has been confirmed in version 1.7.2 and has also been reported in version 1.7. Other versions may also be affected.

Quelle: http://secunia.com/advisories/19745/

Und nun die blöde Frage der Woche: Should I be concerned ? ... oder ist das mit meinem gerade eben frisch gezogenen Update auf 1.7.2 bereits schon mitgepatcht worden ?

Gruß,
  Lorcan

2

Installation, Update & Configuration / Re: 3 verschiedene Bildgrößen

« on: June 17, 2005, 02:34:37 PM »

für's ACP gibt es kein Template - das ist direkt in den .php Dateien zu ändern.

Suche in ./admin/images.php

... ich dachts mir fast *gnagna*

*grübel* man könnte ja den Funktionsaufruf in der ./admin/images.php entsprechend erweitern:

Code: [Select]

show_image_row($lang['image']."<br /><span class=\"smalltext\">(".$image_row['image_media_file'].")</span>", $file_src, 1);

ändern in

Code: [Select]

show_image_row($lang['image']."<br /><span class=\"smalltext\">(".$image_row['image_media_file'].")</span>", $file_src, 1,"",0,600);

... was den browser denn veranlasst das bild auf 600p runterzuskalieren.
Solange meine Admins im lokalen Netzwerk hocken könnte man das als Workaround vielleicht akzeptieren, nix desto trotz isses im Trafficsinne suboptimal, denn u.U. hab ich auch mal einen Admin über ne Modemleitung im Script hängen und der wird sich gräuslich bei mir bedanken

Blöderweise wird die o.g. Funktion aus der admin_functions.php auch für die Codegenerierung des Thumnail-Images herangezogen ... d.h. wenn man es auf phpThumbs umstellen wollte wären doch gravierendere Eingriffe notwendig. Und da ich den gesamten Code nicht im Überblick habe möcht ich da nicht ohne das O.K. der Entwickler an den Funktionen rumschrauben.

Aber vielleicht hats ja schon mal wer gemacht und hat noch nen Tipp, bzw. die Lösung schon parat ... warum das Rad zweimal erfinden ?

Trotzdem, Danke für den Hinweis, matrix

Gruß,
   Lorcan

3

Installation, Update & Configuration / Re: 3 verschiedene Bildgrößen

« on: June 17, 2005, 11:19:20 AM »

Hoi

... also bei mir klappt das o.g. Procedere tadellos, man muss nur auf die Pfade in den Templates achten wenn man phpThumbs in einen Subfolder anstatt von DocumentRoot packt.
In der aktuellen Version von phpThumbs (1.5.4) ist nicht mal eine Anpassung der config-Datei nötig gewesen.

Wie gesagt, funkt soweit ganz prima ...
Einziges Problem das ich noch habe: wo is das Template zum Bildereditieren für Administratoren zu finden, damit ich phpThumbs auch dort einbinden kann  : ( Target-URL: /admin/images.php?action=editimage&image_id=.. )

Offensichtlich wird da nicht mit dem {image} -Tag gearbeitet, denn das JPG-Template im Media-Folder hab ich schon angepasst ... leider wird aber im Admin-Edit trotzdem die Orginalgröße des Bilds angezeigt *hmpf*

Bin für jede Hilfe dankbar

Gruß,
   Lorcan

P.S.: Ich hab derzeit 4Images V1.7 im Testbetrieb laufen