Yatego Shopping
Nov 25

Security Patch 2008-11-24 – SEO URLs

Patches & Bugfixes Kommentar schreiben

Nachdem in den letzten Tagen sowohl durch die xt:Commerce GmbH als auch durch Gambio Sicherheitspatches herausgegeben wurden, wurden nun weitere Sicherheitslücken entdeckt. Wie im Gambio Blog nachzulesen ist, wird dieses Patch dringend für alle Shops auf Basis von xt:Commerce empfohlen.

Quelle / Autor: www.gambio.de

Dateigröße 17.1 KiB - Downloads bisher 1,064
  security_patch_08-11-24.zip

Defekten Link melden

Weitere Beiträge, die Dich interessieren könnten

5 Kommentare bei “Security Patch 2008-11-24 – SEO URLs”

  1. Modul-Archiv für xt:Commerce
    25. November 2008 um 05:49 Uhr

    [...] Thema verschoben! Hier geht es weiter. [...]

  2. Sicherheits-Patch für Gambio und xt:Commerce | Webhosting Blog
    25. November 2008 um 11:57 Uhr

    [...] werden, des weiteren hat auch xtc-load.de über das Patch berichtet. Auch bei xtc-load.de kann das Patch kostenfrei heruntergeladen [...]

  3. Serkan
    25. November 2008 um 19:59 Uhr

    Hi, was genau hat sich zu dem anderen Patch geändert? Denn die einzelnen Einträge würde ich gerne wissen, um meine bestehende metatags.php zu ändern. Gruß Serkan

  4. PatchFix
    26. November 2008 um 03:58 Uhr

    Achtung, der Gambio Patch schafft leider mehr Probleme als er löst.

    Der “Fix” der class.inputfilter.php ist schlicht unnötig. Für XTC 3.04 SP2.1 macht er sogar den “alten” Sicherheitspatch für die class.inputfilter wieder rückgängig, der das XSS Problem schons seit 1,5 Jahren gefixt hat. (http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=3&nav=0 )

    Die XSS Lücke ist also auf anderes (und eigentlich schon lange behobenes) Problem zurückzuführen.

    Um die GET Keys zu säubern und den Array Teil zu korrigieren sollte folgendes ausreichen:

    for ($i = 0, $n = sizeof($vars); $i  0) {
   while (list ($key, $value) = each($GET_array)) {
      if((bool)get_magic_quotes_gpc()) $key = addslashes($key);
      $_GET[$key] = $value;
   }
}
  5. Nonito Capuno
    26. November 2008 um 20:30 Uhr

    Hallo PatchFix,
    es ist richtig, dass der Gambio-Patch vom 24.11.08 die Änderungen des XT-Patches vom 01.06.08 nicht beinhaltet. Die Lücke wurde durch eigenen Code geschlossen, der unter anderem gleichzeitig die Lücke bzgl. der GET-Keys schließt.

    Danke für deinen gutgemeinten Tipp mit dem vereinfachten Code. In dem Beispielcode fehlt allerdings die Rekursion. Tiefer verschachtelte Arrays werden dadurch nicht berücksichtigt. Darum ist unser Code im Inputfilter auch ein wenig umfangreicher ausgefallen. Dieser geht die Arrays rekursiv durch und erreicht damit ALLE enthaltenen Keys und Values unabhängig von deren Verschachtelungstiefe.
    Grüße, Nonito

Kommentar schreiben

Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem offenen und freien Forum unter www.xtc-supportforum.de herzlich willkommen.

CAPTCHA-Bild
*
Icons by N.Design Studio | Theme based on "rednblack" by Abdul Turan, customized for by fromfriends | © 2008 - 2011 by ivenia