Piwigo.org

macagoule · 2017-06-17 11:54:14

Bonjour à tous,

L'été arrivant, je me suis dit qu'une petite mise à jour de l'OS et de Piwigo serait bon, seulement voilà l'upgrade en 2.9.1 (en automatique) est bien passé semble-t-il mais depuis l'upgrade Server (aptitude clean && aptitude update && aptitude full-upgrade) et reboot, j'ai un beau message a chaque fois qu'un user tente de s'authentifier (avec des bons ou mauvais credentials). Je n'ai pas ce souci avec la version mobile iPhone je précise.

...
Piwigo a rencontré une erreur non récupérable

[Hacking attempt] the input parameter "redirect_decoded" is not valid

#1 check_input_parameter /var/www/galerie/identification.php(50)
...

Le log apache semble indiquer un PHP Fatal Error :

...
[Sat Jun 17 11:18:11.184992 2017] [:error] [pid 3219] [client 77.136.15.30:44077] PHP Fatal error: [Hacking attempt] the input parameter "redirect_decoded" is not valid\n#1\tcheck_input_parameter /var/www/galerie/identification.php(50) in /var/www/galerie/include/functions_html.inc.php on line 403, referer: http://galerie.lestintins.fr/
...

Je pense bien à un souci lié à php, mais je suis incapable de trouver le module / la fonction qui pose ce problème.

Si besoin je peux vous mettre un beau phpinfo quelque part si ca peut aider.

Merci pour votre aide !

Version de Piwigo: 2.9.1
Version de PHP: PHP Version 5.6.30-0+deb8u1
Version de MySQL: 5.5.55-0+deb8u1 - (Debian)
URL Piwigo: http://galerie.lestintins.fr

plg · 2017-06-17 12:47:10

[Github] Piwigo issue #710

macagoule · 2017-06-17 13:13:13

fichier identification.php modifié, fonctionne de nouveau parfaitement, merci @plg !!!

plg · 2017-06-17 16:00:23

macagoule a écrit:
fichier identification.php modifié, fonctionne de nouveau parfaitement, merci @plg !!!

J'aurais surtout aimé trouver ce bug "avant" la sortie de la 2.9.1 :-/

Sortir une 2.9.2, c'est minimum 1 journée de travail. J'ai estimé (au doigt mouillé) que c'était assez rare d'utiliser $conf['gallery_url'] donc on a juste noté le "problème connu" dans les notes de la version 2.9.1. Du coup, pas de sortie "en urgence" de la 2.9.2 pour corriger ça.

Matthieu · 2017-06-18 19:06:52

Pouvez vous préciser où et ce qu'il faut modifier dans le fichier identification.php ?

J'avoue que je suis rouillé et ne vois pas trop où je doit faire la correction.

Merci d'avance

Matthieu · 2017-06-18 19:07:48

Désolé, je viens de voir que je n'avais pas mis le Bonjour

Donc, bonjour avant toute chose ;)

plg · 2017-06-18 19:32:27

Bonsoir Matthieu,

Code:

$ git show fffd35174ff1280f11f988afefacc0df3acf83a7
commit fffd35174ff1280f11f988afefacc0df3acf83a7
Author: plegall <plg@piwigo.org>
Date:   Thu Jun 15 23:10:25 2017 +0200

    fixes #710, avoid using get_gallery_home_url()
    
    because it may be different from get_absolute_root_url() if you have a $conf['gallery_url']

diff --git a/identification.php b/identification.php
index 2676b6a..6f236a9 100644
--- a/identification.php
+++ b/identification.php
@@ -47,7 +47,7 @@ if (isset($_POST['redirect']))
 {
   $_POST['redirect_decoded'] = urldecode($_POST['redirect']);
 }
-check_input_parameter('redirect_decoded', $_POST, false, '{^'.preg_quote(get_gallery_home_url()).'}');
+check_input_parameter('redirect_decoded', $_POST, false, '{^'.preg_quote(cookie_path()).'}');
 
 $redirect_to = '';
 if ( !empty($_GET['redirect']) )

Dis moi si c'est plus clair comme cela :-)

Matthieu · 2017-06-18 20:49:00

Bonsoir,

Merci, c'est parfait, tout re-fonctionne.

Merci encore et bonne soirée.

fmpjpl · 2017-06-19 10:41:24

J'ai le même soucis sur une de mes galeries en 2.9.1, par contre pas sur l'autre en 2.9.1 !!!
Normal ?

plg, je veux bien la manip plus précise pour modifier le fichier identification.php stp ?
ce n'est pas clair pour moi ;)

Merci

fmpjpl · 2017-06-19 10:46:21

Par contre est ce normal quand on veut télécharger le zip de la dernière version (Télécharger le Package
) d'être rediriger sur la page http://fr.piwigo.org/hosting ???

je n'arrive pas à avoir accès au zip complet.

fmpjpl · 2017-06-19 10:51:25

je viens de trouver la réponse concernant mon site qui posait problème, il était en php 5.5 (ovh) en le passant en 7.0, ça marche au poil.

zellshins · 2017-06-19 13:14:39

Bonjour,
si ça peut apporter de l'eau au moulin j'ai fait la mise à jour sur un premier site, résultat : page blanche dans l'admin et code erreur sur l’accueil du site. Ayant fait la mise à jour à partir d'une connexion qui rame un peu j'ai pensé ç une erreur donc j'ai apppliqué la procédure de la mise à jour manuelle : tout est entré dans l'ordre.

Du coup ce matin j'ai voulu procédé à la mise à jour d'un second site et j'ai à nouveau une page blanche sur l'admin et un joli petit message à l'accueil de mon site (sur page blanche : "Hacked By SAaD-KiLLEr-Dz"

Au moins c'est clair... y-a-t-il un risque pour le contenu du site? ( je ne peux pas refaire la procédure de mise à jour manuel pour le moment car pas d'accès ftp)

Version de Piwigo: 2.9.1
Version de PHP: 5.6.24
Version de MySQL: 5.0.11
URL Piwigo: http://www.photogreg.tk/ et http://www.cotentinetcottedemailles.fr/gallery/

Dernière modification par zellshins (2017-06-19 13:20:05)

fmpjpl · 2017-06-19 14:33:38

zellshins tu as remarqué que la racine de ton site (http://www.cotentinetcottedemailles.fr) mentionne "Hacked By SAaD-KiLLEr-Dz " ?

de même pour l'autre site (http://www.photogreg.tk/) !

Dernière modification par fmpjpl (2017-06-19 15:02:03)

zellshins · 2017-06-19 14:40:22

Oui,
en fait je fais des recherche (à défaut de pouvoir intervenir par ftp pour le moment), et je viens de voir qu'en fait ce sont mes 3 sites qui ont été piratés (d'ailleurs pas mal de sites avec le même ip ont été attaqués).

J'ai cliqué sur le mail de mise à jour pour arriver sur mon site puis lancé la mise à jour et c'est à ce moment là que Piwigo à planté. Mais en réalité le piratage de la racine du site date d'il y a 10 jours!

zellshins · 2017-06-19 15:42:19

Donc en bref, il semble qu'il n'y ait pas de rapport avec la mise à jour : faille php chez mon hébergeur, corrigée rapidement mais quelques pages d'accueil remplacées...

Piwigo.org

Annonce

#1 2017-06-17 11:54:14

[Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#2 2017-06-17 12:47:10

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#3 2017-06-17 13:13:13

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#4 2017-06-17 16:00:23

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

macagoule a écrit:

#5 2017-06-18 19:06:52

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#6 2017-06-18 19:07:48

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#7 2017-06-18 19:32:27

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

Code:

#8 2017-06-18 20:49:00

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#9 2017-06-19 10:41:24

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#10 2017-06-19 10:46:21

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#11 2017-06-19 10:51:25

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#12 2017-06-19 13:14:39

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#13 2017-06-19 14:33:38

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#14 2017-06-19 14:40:22

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

#15 2017-06-19 15:42:19

Re: [Résolu] Message [Hacking Attempt] suite à upgrade Debian et Piwigo en 2.9.1

Pied de page des forums