Frage zum neuen Sicherheitspatch

[Thore]

Hallo,

in wie weit sind die Vorgängerversionen betroffen? Wenn ja, besteht eventuell die Möglichkeit die Sicherheitslücke ohne Update auf die 2.2 zu schließen?

Gruß Mario

[Suchender]

viel Interessanter wäre welcher Code geändert wurde.

Ich denke viele benutzen bereits Modifikationen die Änderungen in diesen Dateien beinhalten.

[mizzy]

viel Interessanter wäre welcher Code geändert wurde.

Ich denke viele benutzen bereits Modifikationen die Änderungen in diesen Dateien beinhalten.

hallo...

ich habe es mit winmerge verglichen, war net soviel und hab den geänderten code in meine datein übernommen. sind ja nur 2 datein.

v.g. micha

[Suchender]

kannst das mal posten?

[eddy66]

Reicht es, wenn ich das magic_quotes disable oder müssen die beiden files ebenfalls unbedingt ausgetauscht werden ?

[annemie]

Hallo

Nachdem ich der neue Patch installiert habe (inkludes und Module auf zwei Shops) kann ich mein Navigation nicht mehr aufmachen, ich habe die original Dateien wieder eingespielt und trotzdem funktioniert bei ein Shop der Navigation nicht mehr. Was muß ich machen.

Grüße

annemie

[Suchender]

Die Änderungen, falls von Hand zu erledigen:

includes/application_top.php

Suche

} else {

                $_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

            }

            $i ++;

Ersetze

} else {

                $_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

                if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

            }

            $i ++;

Suche

if (sizeof($GET_array) > 0) {

            while (list ($key, $value) = each($GET_array)) {

                $_GET[$key] = htmlspecialchars($value);

            }

        }

    }

}

Ersetze

if (sizeof($GET_array) > 0) {

            while (list ($key, $value) = each($GET_array)) {

                $_GET[$key] = htmlspecialchars($value);

                if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

            }

        }

    }

}

includes/modules/metatags.php Suche

if ($_GET['coID']) {

            $contents_meta_query = xtDBquery("SELECT content_heading

                                                        FROM " . TABLE_CONTENT_MANAGER . "

                                                        WHERE content_group='" . $_GET['coID'] . "' and

                                                        languages_id='" . $_SESSION['languages_id'] . "'");

            $contents_meta = xtc_db_fetch_array($contents_meta_query, true);

?>

Ersetze

if ($_GET['coID']) {

            $contents_meta_query = xtDBquery("SELECT content_heading

                                                        FROM " . TABLE_CONTENT_MANAGER . "

                                                        WHERE content_group='" . (int)$_GET['coID'] . "' and

                                                        languages_id='" . $_SESSION['languages_id'] . "'");

            $contents_meta = xtc_db_fetch_array($contents_meta_query, true);

?>

[annemie]

Danke suchender,

das Probleme ist gelöst, ich habe die original Dateien von mein DirectURL wieder eingepielt, dieser Patch ist nur für Shop mit aktviert SEO-Urls und nicht für Shop mit DirectURL. Jetzt funktionierts wieder, ich hatte die original Dateien vom xt-Commerce und nicht vom DirectURL eingespielt.

Grüße

annemie

[pulperia]

Hallo an alle,

da ich SHOPSTAT im Einsatz habe, also "SEARCH_ENGINE_FRIENDLY_URLS" auskommentiert im application_top.php habe, denke dass keine Änderungen nötig seien?

stimm das oder soll ich es trotzdem durchführen?

[marcobasse]

habe mal einwenig verkürzt...

includes/application_top.php

suche nach:

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

füge darunter folgendes ein:

if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

suche nach:

$_GET[$key] = htmlspecialchars($value);

füge darunter folgendes ein:

if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

includes/modules/metatags.php suche nach:

'" . $_GET['coID'] . "'

ersetzte es mit:

'" . (int)$_GET['coID'] . "'

Gruß

Mathis

[peeeters]

Hallo an alle,

da ich SHOPSTAT im Einsatz habe, also "SEARCH_ENGINE_FRIENDLY_URLS" auskommentiert im application_top.php habe, denke dass keine Änderungen nötig seien?

stimm das oder soll ich es trotzdem durchführen?

Das stimmt bezüglich der application_top.php.

Aber nicht vergessen: Die metatags.php muss aber trotzdem angepasst werden!!!

[pulperia]

danke, habe schon die Änderungen durchgeführt...

WHERE content_group='" . $_GET['coID'] . "' and

in

WHERE content_group='" . (int) $_GET['coID'] . "' and[/code]

damit ist das erledigt

[efrenken]

habe mal einwenig verkürzt...

includes/application_top.php

suche nach:

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

füge darunter folgendes ein:

if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

suche nach:

$_GET[$key] = htmlspecialchars($value);

füge darunter folgendes ein:

if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

includes/modules/metatags.php suche nach:

'" . $_GET['coID'] . "'

ersetzte es mit:

'" . (int)$_GET['coID'] . "'

Gruß

Mathis

Jetzt muss ich mal ein dickes Lob loswerden. Endlich mal eine Anleitung, die nicht nur mein nicht vorhandener EDV-Mitarbeiter versteht und die auf Anhieb funktioniert.

Danke!

Gruß

Eric

[black_ten]

Ähm, eine Frage. Was genau verhindert denn das Sicherheitsupdate? Wofür wird es benötigt? Was kann passieren wenn ich es nicht einspiele?

[Karl43]

Hallo,

wo steht eigentlich die aktuelle Versionsnummer???

Und was ist aktivierten SEO Urls und aktivierten magic_quotes???

Wo stellt man die ein?

Evtl. kann ich mir das update ja sparen.

[black_ten]

Habs gefunden. Es ist also möglich die SQL Datenbank zu "kapern" ... unter gewissen Umständen. Info s hier.

Na dann mal tausende Shops updaten und ältere Versionen wie 3.04 oder 3.03 gleich mit... *schluck*

[saphira]

Hallo,

annemie schrieb

dieser Patch ist nur für Shop mit aktviert SEO-Urls und nicht für Shop mit DirectURL.

1. Bedeutet "aktivierten SEO Urls" - "Spider Sessions vermeiden? auf True gestellt" ?

2. Das hat man doch auch bei Direkt URL, oder?

3. Was bedeutet "aktivierten magic_quotes"?

4.Muß man die metatags.php auf jeden Fall ändern?

Grüße

saphira:D

[Suchender]

macht das Update auf jeden Fall.

SEO URLs = admin/configuration.php?gID=16 und Metagtags werden auch immer genutzt.

Magicquotes ist ne PHP Funktion - Infos dazu könnt ihr bei euren Hostern einholen.

[eddy66]

Ich stell die Frage nochmal ?

Reicht es wenn man das magic_quotes in der php.ini deaktiviert ?

Oder muß ich alle XT shops auch noch updaten ?

Gruß eddy

[Suchender]

Ich stell die Frage nochmal ?

Reicht es wenn man das magic_quotes in der php.ini deaktiviert ?

Oder muß ich alle XT shops auch noch updaten ?

Gruß eddy

wenn mit deaktivierten Magic Quotes noch alles läuft...

[eddy66]

wenn mit deaktivierten Magic Quotes noch alles läuft...

habe das gestern deaktiviert und noch keine negativen Auswirkungen festgestellt. Die Shops (keine Veyton's) brauchen doch gar kein Magic Quotes ?

Oder lieg ich da falsch ?

gruß eddy

[visus]

Vielen Dank für die Beschreibung bzw. Anleitung.

[thomas74]

Sind die Änderungen auch unter den Includes im Ordner Admin durchzuführen?

[Ahler]

Ich habe immer noch das Problem, dass meine Kategorien und Produkte nicht aufgerufen werden können.

Ich lande immer wieder auf der Startseite.

Magic_Quotes? Kann man da irgendwo etwas einstellen?

Danke.

[Karl43]

Ja das würde mich auch interessieren.

Änderungen im admin/* nicht nötig?????