Forum Internet Service Backes

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Neuigkeiten:

Autor Thema: Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1  (Gelesen 5982 mal)

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
« am: 20 Februar, 2011, 17:26:07 Nachmittag »

Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
http://www.internet-service-backes.de/download/sql_injection_fix_xtcommerce304.zip

Zitat
16.02.2011 - xt:Commerce GmbH
#####

Installation

Ersetzen Sie die Datein password_double_opt.php und inc/xtc_validate_email.inc.php

##############################
Einstufung - HOCH/Critical!
##############################

Durch einen Bug in der php funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator Passwort
auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden.

Aus Sicherheitsgründen wird die genaue vorgehensweise nicht näher dargelegt.

Eine installation des Patches ist sofort durchzuführen und empfohlen.
« Letzte Änderung: 20 Februar, 2011, 18:33:48 Nachmittag von genndus »
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

annemie

  • Member
  • ***
  • Offline Offline
  • Beiträge: 45
    • Multimedia-Sprachkurse
Re:Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
« Antwort #1 am: 20 Februar, 2011, 19:29:26 Nachmittag »

Hallo,

gilt auch für Gambio?

Grüß
annemie
Gespeichert

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Re:Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
« Antwort #2 am: 20 Februar, 2011, 20:38:26 Nachmittag »

Hallo.
eine aktuelle Gambio Version hab ich mir noch nicht angesehen.
Hab aber grad mal in eine GX Version von 2008 rein gesehen, alles noch so wie in xtc.

Gruß
genndus
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

harrygrey

  • Newbie
  • *
  • Offline Offline
  • Beiträge: 3
Re:Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1
« Antwort #3 am: 03 März, 2011, 22:19:04 Nachmittag »

...und jetzt kommt hier wieder eine neue Meldung:
http://www.monkey-business.biz/1586/xtcommerce-v3-0-x-eregi-nullbyte-injection-sql-injection/

Was ist nun wirklich daran?
Gespeichert