Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[genndus]

Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
http://www.internet-service-backes.de/download/sql_injection_fix_xtcommerce304.zip

16.02.2011 - xt:Commerce GmbH
#####

Installation

Ersetzen Sie die Datein password_double_opt.php und inc/xtc_validate_email.inc.php

##############################
Einstufung - HOCH/Critical!
##############################

Durch einen Bug in der php funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator Passwort
auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden.

Aus Sicherheitsgründen wird die genaue vorgehensweise nicht näher dargelegt.

Eine installation des Patches ist sofort durchzuführen und empfohlen.

[annemie]

Hallo,

gilt auch für Gambio?

Grüß
annemie

[genndus]

Hallo.
eine aktuelle Gambio Version hab ich mir noch nicht angesehen.
Hab aber grad mal in eine GX Version von 2008 rein gesehen, alles noch so wie in xtc.

Gruß
genndus

[harrygrey]

...und jetzt kommt hier wieder eine neue Meldung:
http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/

Was ist nun wirklich daran?