Dziś w nocy wydano poprawkę bezpieczeństwa do 1.2.10 - naprawia ona błąd związany z uploadowaniem avatarów.
Błąd polegał mniej więcej na tym, że gdy avatar został wysłany na serwer, to po jego sprawdzeniu nie zostawał z serwera usunięty nawet jeżeli okazało się, że wysłany plik nie jest obrazkiem. Przy źle skonfigurowanym serwerze mogło to powodować zagrożenie dla użytkowników...
Łatę można wgrać przez podmianę pliku inc/functions_upload.php na wydany przez autorów poprawiony plik, albo samemu naprawiając ten plik wg instrukcji zamieszczonej przez nich. Instrukcja w polskiej wersji jest dostępna w załączniku do mojego posta.
Ogłoszenie na międzynarodowym forum i temat z dyskusją
Błąd polegał mniej więcej na tym, że gdy avatar został wysłany na serwer, to po jego sprawdzeniu nie zostawał z serwera usunięty nawet jeżeli okazało się, że wysłany plik nie jest obrazkiem. Przy źle skonfigurowanym serwerze mogło to powodować zagrożenie dla użytkowników...
Łatę można wgrać przez podmianę pliku inc/functions_upload.php na wydany przez autorów poprawiony plik, albo samemu naprawiając ten plik wg instrukcji zamieszczonej przez nich. Instrukcja w polskiej wersji jest dostępna w załączniku do mojego posta.
Ogłoszenie na międzynarodowym forum i temat z dyskusją