Security Patch 2008-11-24 – SEO URLs

Patches & Bugfixes Kommentar schreiben

Nachdem in den letzten Tagen sowohl durch die xt:Commerce GmbH als auch durch Gambio Sicherheitspatches herausgegeben wurden, wurden nun weitere Sicherheitslücken entdeckt. Wie im Gambio Blog nachzulesen ist, wird dieses Patch dringend für alle Shops auf Basis von xt:Commerce empfohlen.

Quelle / Autor: www.gambio.de

Dateigröße 17,1 KiB - Downloads bisher 1.581
  security_patch_08-11-24.zip

 

Weitere Beiträge, die Dich interessieren könnten

5 Kommentare bei “Security Patch 2008-11-24 – SEO URLs”

  1. Modul-Archiv für xt:Commerce

    […] Thema verschoben! Hier geht es weiter. […]

  2. Sicherheits-Patch für Gambio und xt:Commerce | Webhosting Blog

    […] werden, des weiteren hat auch xtc-load.de über das Patch berichtet. Auch bei xtc-load.de kann das Patch kostenfrei heruntergeladen […]

  3. Serkan

    Hi, was genau hat sich zu dem anderen Patch geändert? Denn die einzelnen Einträge würde ich gerne wissen, um meine bestehende metatags.php zu ändern. Gruß Serkan

  4. PatchFix

    Achtung, der Gambio Patch schafft leider mehr Probleme als er löst.

    Der “Fix” der class.inputfilter.php ist schlicht unnötig. Für XTC 3.04 SP2.1 macht er sogar den “alten” Sicherheitspatch für die class.inputfilter wieder rückgängig, der das XSS Problem schons seit 1,5 Jahren gefixt hat. (http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=3&nav=0 )

    Die XSS Lücke ist also auf anderes (und eigentlich schon lange behobenes) Problem zurückzuführen.

    Um die GET Keys zu säubern und den Array Teil zu korrigieren sollte folgendes ausreichen:

    for ($i = 0, $n = sizeof($vars); $i  0) {
       while (list ($key, $value) = each($GET_array)) {
          if((bool)get_magic_quotes_gpc()) $key = addslashes($key);
          $_GET[$key] = $value;
       }
    }
  5. Nonito Capuno

    Hallo PatchFix,
    es ist richtig, dass der Gambio-Patch vom 24.11.08 die Änderungen des XT-Patches vom 01.06.08 nicht beinhaltet. Die Lücke wurde durch eigenen Code geschlossen, der unter anderem gleichzeitig die Lücke bzgl. der GET-Keys schließt.

    Danke für deinen gutgemeinten Tipp mit dem vereinfachten Code. In dem Beispielcode fehlt allerdings die Rekursion. Tiefer verschachtelte Arrays werden dadurch nicht berücksichtigt. Darum ist unser Code im Inputfilter auch ein wenig umfangreicher ausgefallen. Dieser geht die Arrays rekursiv durch und erreicht damit ALLE enthaltenen Keys und Values unabhängig von deren Verschachtelungstiefe.
    Grüße, Nonito

Kommentar schreiben

Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem eCommerce-Forum herzlich willkommen.

© 2005 - 2015 by xtc-load.de