Bugfix fuer SQL Injektion

[sengewald]

Hallo,

durch einen Fehler in XTCommerce 3.04 SP2 ist es möglich den Passwort Hash des ersten angelegten Benutzers(meistens des Administrators) auszulesen.

Bei schwachen Passwörtern kann dann durch eine Brute Force Attacke das Passwort ermittelt werden und in der Folge dann weitere Schadsoftware auf den Rechner geladen werden.

Um das zu verhindern die MySQL Fehlerausgabe abschalten

Dazu in der Datei: /inc/xtc_db_error.inc.php die Zeile

die('<font color="#000000"><b>' . $errno . ' - ' . $error . '<br /><br />' . $query . '<br /><br /><small><font color="#ff0000">[XT SQL Error]</font></small><br /><br /></b></font>');

durch

die('<font color="#000000"><b>Database error</font>');

ersetzen.