Forum Internet Service Backes

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Neuigkeiten:

Autor Thema: Bugfix für SQL Injection  (Gelesen 950 mal)

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Bugfix für SQL Injection
« am: 20 Februar, 2011, 17:20:21 Nachmittag »

Hallo,

in xtc wurde eine Sicherheitslücke entdeckt.
http://www.internet-service-backes.de/download/sql_injection_fix_xtcPC-S-B.zip
Änderunegn durch den Patch:
In Datei
\inc\xtc_validate_email.inc.php
Nach den Zeilen
 function xtc_validate_email($email) {
    $valid_address = true;
Folgendes Einfügen
   // sql injection fix 16.02.2011
    if (strpos($email,"\0")!==false) {return false;}
In Datei
password_double_opt.php
Etwa Zeile 87
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".$check_customer['customers_email_address']."'");Ändern in
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".xtc_db_input($check_customer['customers_email_address'])."'");
Ab xtcPC-S-B v.0.4 können die vorhandenen Dateien mit denenen im Anhang einfach überschrieben werden,
wenn keine Eigenen Änderungen an den Dateien vorgenommen wurden.
In Vorherige oder Modifizierte Versionen sollte das von Hand eingebaut werden.

Gruß
genndus
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop