Forum Internet Service Backes

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Neuigkeiten:

Autor Thema: Sicherheitsupdate für 3.0.4 SP2.1  (Gelesen 16110 mal)

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Sicherheitsupdate für 3.0.4 SP2.1
« am: 20 November, 2008, 14:06:40 Nachmittag »

Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)
Für ältere xt:Commerce Versionen wird ein Update auf xt:Commerce 3.0.4 SP2.1 dringend empfohlen.

http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=19

Edit: Hier noch die Änderungen im Einzelnen um das Überschreiben von Moduleinbauten zu vermeiden.
Includes/modules/metatags.php etwa Zeile 86
WHERE content_group='" . $_GET['coID'] . "' andÄndern in
WHERE content_group='" . (int)$_GET['coID'] . "' and

Includes/application_top.php etwa Zeile 213
Nach
$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);Folgendes Einfügen
if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
und nach etwa Zeile 220
$_GET[$key] = htmlspecialchars($value);Folgendes einfügen.
if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
gruß
genndus
« Letzte Änderung: 20 November, 2008, 15:36:25 Nachmittag von genndus »
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

annemie

  • Member
  • ***
  • Offline Offline
  • Beiträge: 45
    • Multimedia-Sprachkurse
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #1 am: 20 November, 2008, 14:54:10 Nachmittag »

Hallo zusammen,

mann muß unbedingt sagen das wenn DirectURL eingebaut ist, und der Patch trotzdem installiert das anschlißen die Navigation nicht mehr funktioniert. Ich muß mein Original DirectURL wieder drauf spielen damit es wieder funktioniert. Ich glaube das der Sicherheitsupdate nur für aktivierten SEO Urls ohne dieser DirectURL ist!

Grüße
annemie
Gespeichert

MAD King

  • Member
  • ***
  • Offline Offline
  • Beiträge: 99
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #2 am: 20 November, 2008, 15:35:11 Nachmittag »

Hallo zusammen,

mann muß unbedingt sagen das wenn DirectURL eingebaut ist, und der Patch trotzdem installiert das anschlißen die Navigation nicht mehr funktioniert. Ich muß mein Original DirectURL wieder drauf spielen damit es wieder funktioniert. Ich glaube das der Sicherheitsupdate nur für aktivierten SEO Urls ohne dieser DirectURL ist!

Grüße
annemie

Also bei mir funktioniert alles bestens nach dem Update. Keine Probleme.

Und Danke für den Hinweis.
Gespeichert

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #3 am: 20 November, 2008, 15:40:30 Nachmittag »

Hallo

@annemie Hast Du die application_top.php einfach überschrieben?
Oder einen Vergleich durchgeführt?

Mein Beitrag oben wurde mitlerweile etwas ergänzt, kam aber selbst noch nicht zum einbau des Patch.

Gruß
genndus
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #4 am: 20 November, 2008, 15:54:31 Nachmittag »

Hallo,

hab den Patch jetzt in meinm Shop eingebaut keine Probleme mit Direkt URL wenn die Dateien nicht einfach überschriebn werden sondern nur die änderungen eingefügt.

Gruß
genndus
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

back@me

  • Junior
  • **
  • Offline Offline
  • Beiträge: 7
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #5 am: 20 November, 2008, 16:00:58 Nachmittag »

Erst einmal vielen Dank für die Erklärung und Auflistung der einzelnen Änderungen in den Dateien.

Aber was mich dann doch mal interessiert ... alle berichten davon, das man dieses Patch unbedingt einbauen soll, doch was für Sicherheitslücken gibt es denn eigentlich? Welcher "Gefahr" ist man denn ausgesetzt, wenn man alles so lassen würde, wie es war (mal angenommen)?

Danke und Grüße
Gespeichert

MAD King

  • Member
  • ***
  • Offline Offline
  • Beiträge: 99
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #6 am: 20 November, 2008, 16:03:24 Nachmittag »


Oder einen Vergleich durchgeführt?



Vergleich, da ich Module drin habe.
Gespeichert

genndus

  • Admin
  • Senior
  • *****
  • Offline Offline
  • Beiträge: 492
    • PC & Internet Service Backes
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #7 am: 20 November, 2008, 17:07:07 Nachmittag »

Erst einmal vielen Dank für die Erklärung und Auflistung der einzelnen Änderungen in den Dateien.

Aber was mich dann doch mal interessiert ... alle berichten davon, das man dieses Patch unbedingt einbauen soll, doch was für Sicherheitslücken gibt es denn eigentlich? Welcher "Gefahr" ist man denn ausgesetzt, wenn man alles so lassen würde, wie es war (mal angenommen)?

Danke und Grüße

Das Musst Du die Programmierer Fragen oder mal google bemühen.
Wird wahrscheinlich aus Sicherheitsgründen nicht genau erklärt sonst Probieren das jede menge Kids und Kriminelle aus die nie auf die Idee gekommen währen.


Gruß
genndus
Gespeichert
www.pc-service-backes.de
xtc Installations- Service und Fehlersuche.
Preiswerter Webspeicherplatz
xtc 3.04sp2.1 ist auf den meisten Webspace-Paketen vorinstalliert.
Shop

Bierbaron

  • {$default_adapter}
  • Senior
  • ****
  • Offline Offline
  • Beiträge: 162
    • Unsere kleine Farm
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #8 am: 21 November, 2008, 11:52:40 Vormittag »

Zitat
Das Musst Du die Programmierer Fragen oder mal google bemühen.
Wird wahrscheinlich aus Sicherheitsgründen nicht genau erklärt sonst Probieren das jede menge Kids und Kriminelle aus die nie auf die Idee gekommen währen.

Hmmm, "Security by Obscurity" ist immer schlecht...

Also, die erste Änderung ist einfach zu erklären: Da nicht geprüft wird, ob die Content ID eine Zahl ist, kann man hier alles Mögliche reinprfriemeln (z.B. zusätzliche Abfragen wie in etwa "gib mir alle Usernamen/Passwörter der Admins aus"). Das nennt man dann SQL-Injection (vielleicht danach mal googeln oder die Wikipedia befragen...)

Der Sinn der zweiten und dritten Änderung ist mir allerdings schleierhaft, da magic_quotes ja eh schon Anführungszeichen maskiert. Warum man dann Anführungszeichen maskieren soll, wenn sie's eh schon sind - keine Ahnung...

Ah, Geistesblitz: Wenn jemand von aussen versucht, eine Datei mit Anweisungen zu laden (Cross Site Scripting, XSS), dann werden Anführungszeichen nicht von magic_quotes maskiert. Deswegen das addslashes.

Alles in allem: Sinnvolles Patch - besonders die erste Änderung!

@genndus: Das sind genau die Angriffe, die die Kids eh ständig ausprobieren - also kann man die auch ruhig verraten!

Ansonsten macht man (wenn man's denn auf dem eigenen Server kann), magic_quotes lieber ganz aus:

http://www.php.net/manual/de/security.magicquotes.php
http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-32.html
http://www.issociate.de/board/post/262617/magic_quotes_gpc?.html

PS: Die magic_quotes-Funktionen werden in der kommenden PHP-Version 6 entfernt.

Ach ja, bleibt noch die Frage, warum man denn 3.04 SP2.1 benutzen soll - die Version hat einen sog. inputfilter in /includes/classes, der sämtliche Ein- und Übergaben prüft und bei Bedarf von allem suspektem "reinigt" ("sanitize data"). Die älteren Versionen haben diese nützliche Klasse noch nicht implementiert.
Gespeichert
"Since this is documented, it is no longer a bug." - Macromedia Support
Sonst noch Fragen? Fragen Sie Nil$en!

back@me

  • Junior
  • **
  • Offline Offline
  • Beiträge: 7
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #9 am: 21 November, 2008, 14:11:40 Nachmittag »

Hi Bierbaron,

danke für die klärenden Worte ... sehr interessant zu wissen, was man mit dem Patch überhaupt bezwecken kann.

Grüße

Gespeichert

annemie

  • Member
  • ***
  • Offline Offline
  • Beiträge: 45
    • Multimedia-Sprachkurse
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #10 am: 21 November, 2008, 18:39:52 Nachmittag »

Hallo Genndus,

Ja, ich habe die Dateien application_top.php und metatags.php einfach übeschrieben, wie ich verstanden habe, sollte ich nicht einfach die Dateien überschreiben, nur die neue Code einfügen, am bestens benutze  ich WinMerge und prüft was geändert ist. Bei beide Dateien? Das bedeutet das auch mit DirectURL ein Sicherheitsrisiko besteht.

Grüße
annemie
Gespeichert

Bierbaron

  • {$default_adapter}
  • Senior
  • ****
  • Offline Offline
  • Beiträge: 162
    • Unsere kleine Farm
Re: Sicherheitsupdate für 3.0.4 SP2.1
« Antwort #11 am: 24 November, 2008, 22:14:21 Nachmittag »

Zitat
Für ältere xt:Commerce Versionen wird ein Update auf aktuellste xt:Commerce 3.0.4 SP2.1 dringenst empfohlen.
Na herrlich - ich hab' mir grad mal bei ner ollen Version 3.0.3 die metatags.php, application_top.php und sicherheitshalber die (früher schonmal gepatchte) shop_content.php angeschaut - da sind die Sicherheitslücken nicht drin... *freu* Im Gegenteil, da wird bei mir alles schön bereinigt  ;D
Gespeichert
"Since this is documented, it is no longer a bug." - Macromedia Support
Sonst noch Fragen? Fragen Sie Nil$en!