Wie soeben von der xt:Commerce GmbH veröffenlicht, wurden in den suchmaschinenfreundlichen URLs bei eingeschalteten Magic_Quotes eine Sicherheitslücke vom Risikofaktor hoch gefunden.
Betroffen sind nur die xtc-hauseigenen SEO URLs mit PATH_INFO. Nachfolgendes Patch behebt diese Sicherheitslücke.
Für alle 3.0.4 Sp2.1 Versionen vor dem 20.11.2008. Downloadarchiv entpacken und die enthaltenen Dateien im Shop ersetzen.
Edit 20.11.2008: Das Downloadarchiv wurde mit Michaels Patchdateien (Kommentar Nr.3) erweitert. Damit können nun auch bereits geänderte Dateien gepatcht werden. Danke Michael!
Edit 21.11.2008: Shopbetreiber, die das ShopStat-Modul für SEO URLs in ihren Shop nutzen, finden hier im ShopStat-Forum Klarheit darüber, inwieweit sie von dieser Sicherheitslücke betroffen sind.
Autor: www.xt-commerce.com
Dateigröße 8.5 KiB - Downloads bisher 1,037
patch_304sp21_seo_magic_quotes.zip
Weitere Beiträge, die Dich interessieren könnten
9 Kommentare bei “Security Patch für 3.04 SP2.1 – SEO URLs”
Kommentar schreiben
Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem offenen und freien Forum unter www.xtc-supportforum.de herzlich willkommen.
20. November 2008 um 14:36 Uhr
Hi, was genau wurde in der metatags.php geändert? Damit ich dies in mein eigenes einfügen kann? Einfach überschreiben möchte ich nicht
20. November 2008 um 15:35 Uhr
Über die Änderungen im Einzelnen lässt die xt:Commerce GmbH keine Infos fließen. Da wird Dir wohl nichts anderes übrig bleiben, als eine alte Originaldatei mit der aus dem Patch mit Hilfe von WinMerge oder einem ähnlichen Tool zu vergleichen. Das sollte aber ein vertretbarer, nicht allzu großer Aufwand sein.
20. November 2008 um 16:14 Uhr
Ich war so frei, die Änderungen hier etwas aufzubereiten, sie halten sich sehr in Grenzen. Vielleicht hilft es jemand: http://bitfuck.net/2008/11/20/sicherheitsupdate-fur-xt-commerce-304-sp21/
20. November 2008 um 18:17 Uhr
In der Applcation-top wurde folgendes geändert:
[Beitrag durch Admin bearbeitet: Die hier genannten Änderungen wurden bereits dem Downloadpaket hinzugefügt. Danke!]
Die Content-ID wurde nicht nochmal gesichert bevor Sie in den SQL-Code wanderte. Das das noch keinem aufgefallen ist…
20. November 2008 um 18:18 Uhr
Zeile vergessen bei metatags:
[Beitrag durch Admin bearbeitet: Die hier genannten Änderungen wurden bereits dem Downloadpaket hinzugefügt. Danke!]
20. November 2008 um 20:09 Uhr
@Michael
Ich war wiederum so frei und habe die beiden Patchdateien, die Du auf Deiner Website anbietest, dem Downloadarchiv beigefügt. Ich hoffe, dies ist für Dich okay, und danke Dir für Deine Unterstützung!
20. November 2008 um 20:42 Uhr
Hallo Ralph,
Selbstverständlich ist das OK. Freu mich das ich etwas beitragen konnte.
20. November 2008 um 21:35 Uhr
Super, danke euch
25. November 2008 um 13:30 Uhr
@3: Danke für die Patchanleitung. Dort ist ein kleiner Fehler in deiner Anleitung. Bei der ersten Korrektur ist kein Unterschied zwischen Original und Korrektur ersichtlich.