Security Patch für 3.04 SP2.1 – SEO URLs

Patches & Bugfixes Kommentar schreiben

Wie soeben von der xt:Commerce GmbH veröffenlicht, wurden in den suchmaschinenfreundlichen URLs bei eingeschalteten Magic_Quotes eine Sicherheitslücke vom Risikofaktor hoch gefunden.

Betroffen sind nur die xtc-hauseigenen SEO URLs mit PATH_INFO. Nachfolgendes Patch behebt diese Sicherheitslücke.

Für alle 3.0.4 Sp2.1 Versionen vor dem 20.11.2008. Downloadarchiv entpacken und die enthaltenen Dateien im Shop ersetzen.

Edit 20.11.2008: Das Downloadarchiv wurde mit Michaels Patchdateien (Kommentar Nr.3) erweitert. Damit können nun auch bereits geänderte Dateien gepatcht werden. Danke Michael!

Edit 21.11.2008: Shopbetreiber, die das ShopStat-Modul für SEO URLs in ihren Shop nutzen, finden hier im ShopStat-Forum Klarheit darüber, inwieweit sie von dieser Sicherheitslücke betroffen sind.

Autor: www.xt-commerce.com

Dateigröße 8,5 KiB - Downloads bisher 1.642
  patch_304sp21_seo_magic_quotes.zip

 

Weitere Beiträge, die Dich interessieren könnten

9 Kommentare bei “Security Patch für 3.04 SP2.1 – SEO URLs”

  1. Serkan

    Hi, was genau wurde in der metatags.php geändert? Damit ich dies in mein eigenes einfügen kann? Einfach überschreiben möchte ich nicht

  2. Ralph

    Über die Änderungen im Einzelnen lässt die xt:Commerce GmbH keine Infos fließen. Da wird Dir wohl nichts anderes übrig bleiben, als eine alte Originaldatei mit der aus dem Patch mit Hilfe von WinMerge oder einem ähnlichen Tool zu vergleichen. Das sollte aber ein vertretbarer, nicht allzu großer Aufwand sein.

  3. Michael

    Ich war so frei, die Änderungen hier etwas aufzubereiten, sie halten sich sehr in Grenzen. Vielleicht hilft es jemand: http://bitfuck.net/2008/11/20/sicherheitsupdate-fur-xt-commerce-304-sp21/

  4. André Herrn

    In der Applcation-top wurde folgendes geändert:

    [Beitrag durch Admin bearbeitet: Die hier genannten Änderungen wurden bereits dem Downloadpaket hinzugefügt. Danke!]

    Die Content-ID wurde nicht nochmal gesichert bevor Sie in den SQL-Code wanderte. Das das noch keinem aufgefallen ist…

  5. André Herrn

    Zeile vergessen bei metatags:

    [Beitrag durch Admin bearbeitet: Die hier genannten Änderungen wurden bereits dem Downloadpaket hinzugefügt. Danke!]

  6. Ralph

    @Michael
    Ich war wiederum so frei und habe die beiden Patchdateien, die Du auf Deiner Website anbietest, dem Downloadarchiv beigefügt. Ich hoffe, dies ist für Dich okay, und danke Dir für Deine Unterstützung!

  7. Michael

    Hallo Ralph,
    Selbstverständlich ist das OK. Freu mich das ich etwas beitragen konnte.

  8. Serkan

    Super, danke euch

  9. Kai

    @3: Danke für die Patchanleitung. Dort ist ein kleiner Fehler in deiner Anleitung. Bei der ersten Korrektur ist kein Unterschied zwischen Original und Korrektur ersichtlich.

Kommentar schreiben

Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem eCommerce-Forum herzlich willkommen.

© 2005 - 2015 by xtc-load.de