Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[genndus]

Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)
Für ältere xt:Commerce Versionen wird ein Update auf xt:Commerce 3.0.4 SP2.1 dringend empfohlen.

http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=19

Edit: Hier noch die Änderungen im Einzelnen um das Überschreiben von Moduleinbauten zu vermeiden.
Includes/modules/metatags.php etwa Zeile 86

Code: [Auswählen]

WHERE content_group='" . $_GET['coID'] . "' andÄndern in

Code: [Auswählen]

WHERE content_group='" . (int)$_GET['coID'] . "' and

Includes/application_top.php etwa Zeile 213
Nach

Code: [Auswählen]

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);Folgendes Einfügen

Code: [Auswählen]

if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
und nach etwa Zeile 220

Code: [Auswählen]

$_GET[$key] = htmlspecialchars($value);Folgendes einfügen.

Code: [Auswählen]

if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
gruß
genndus

[annemie]

Hallo zusammen,

mann muß unbedingt sagen das wenn DirectURL eingebaut ist, und der Patch trotzdem installiert das anschlißen die Navigation nicht mehr funktioniert. Ich muß mein Original DirectURL wieder drauf spielen damit es wieder funktioniert. Ich glaube das der Sicherheitsupdate nur für aktivierten SEO Urls ohne dieser DirectURL ist!

Grüße
annemie

[MAD King]

Hallo zusammen,

mann muß unbedingt sagen das wenn DirectURL eingebaut ist, und der Patch trotzdem installiert das anschlißen die Navigation nicht mehr funktioniert. Ich muß mein Original DirectURL wieder drauf spielen damit es wieder funktioniert. Ich glaube das der Sicherheitsupdate nur für aktivierten SEO Urls ohne dieser DirectURL ist!

Grüße
annemie

Also bei mir funktioniert alles bestens nach dem Update. Keine Probleme.

Und Danke für den Hinweis.

[genndus]

Hallo

@annemie Hast Du die application_top.php einfach überschrieben?
Oder einen Vergleich durchgeführt?

Mein Beitrag oben wurde mitlerweile etwas ergänzt, kam aber selbst noch nicht zum einbau des Patch.

Gruß
genndus

[genndus]

Hallo,

hab den Patch jetzt in meinm Shop eingebaut keine Probleme mit Direkt URL wenn die Dateien nicht einfach überschriebn werden sondern nur die änderungen eingefügt.

Gruß
genndus

[back@me]

Erst einmal vielen Dank für die Erklärung und Auflistung der einzelnen Änderungen in den Dateien.

Aber was mich dann doch mal interessiert ... alle berichten davon, das man dieses Patch unbedingt einbauen soll, doch was für Sicherheitslücken gibt es denn eigentlich? Welcher "Gefahr" ist man denn ausgesetzt, wenn man alles so lassen würde, wie es war (mal angenommen)?

Danke und Grüße

[MAD King]

Oder einen Vergleich durchgeführt?

Vergleich, da ich Module drin habe.

[genndus]

Erst einmal vielen Dank für die Erklärung und Auflistung der einzelnen Änderungen in den Dateien.

Aber was mich dann doch mal interessiert ... alle berichten davon, das man dieses Patch unbedingt einbauen soll, doch was für Sicherheitslücken gibt es denn eigentlich? Welcher "Gefahr" ist man denn ausgesetzt, wenn man alles so lassen würde, wie es war (mal angenommen)?

Danke und Grüße

Das Musst Du die Programmierer Fragen oder mal google bemühen.
Wird wahrscheinlich aus Sicherheitsgründen nicht genau erklärt sonst Probieren das jede menge Kids und Kriminelle aus die nie auf die Idee gekommen währen.


Gruß
genndus

[Bierbaron]

Das Musst Du die Programmierer Fragen oder mal google bemühen.
Wird wahrscheinlich aus Sicherheitsgründen nicht genau erklärt sonst Probieren das jede menge Kids und Kriminelle aus die nie auf die Idee gekommen währen.

Hmmm, "Security by Obscurity" ist immer schlecht...

Also, die erste Änderung ist einfach zu erklären: Da nicht geprüft wird, ob die Content ID eine Zahl ist, kann man hier alles Mögliche reinprfriemeln (z.B. zusätzliche Abfragen wie in etwa "gib mir alle Usernamen/Passwörter der Admins aus"). Das nennt man dann SQL-Injection (vielleicht danach mal googeln oder die Wikipedia befragen...)

Der Sinn der zweiten und dritten Änderung ist mir allerdings schleierhaft, da magic_quotes ja eh schon Anführungszeichen maskiert. Warum man dann Anführungszeichen maskieren soll, wenn sie's eh schon sind - keine Ahnung...

Ah, Geistesblitz: Wenn jemand von aussen versucht, eine Datei mit Anweisungen zu laden (Cross Site Scripting, XSS), dann werden Anführungszeichen nicht von magic_quotes maskiert. Deswegen das addslashes.

Alles in allem: Sinnvolles Patch - besonders die erste Änderung!

@genndus: Das sind genau die Angriffe, die die Kids eh ständig ausprobieren - also kann man die auch ruhig verraten!

Ansonsten macht man (wenn man's denn auf dem eigenen Server kann), magic_quotes lieber ganz aus:

http://www.php.net/manual/de/security.magicquotes.php
http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-32.html
http://www.issociate.de/board/post/262617/magic_quotes_gpc?.html

PS: Die magic_quotes-Funktionen werden in der kommenden PHP-Version 6 entfernt.

Ach ja, bleibt noch die Frage, warum man denn 3.04 SP2.1 benutzen soll - die Version hat einen sog. inputfilter in /includes/classes, der sämtliche Ein- und Übergaben prüft und bei Bedarf von allem suspektem "reinigt" ("sanitize data"). Die älteren Versionen haben diese nützliche Klasse noch nicht implementiert.

[back@me]

Hi Bierbaron,

danke für die klärenden Worte ... sehr interessant zu wissen, was man mit dem Patch überhaupt bezwecken kann.

Grüße

[annemie]

Hallo Genndus,

Ja, ich habe die Dateien application_top.php und metatags.php einfach übeschrieben, wie ich verstanden habe, sollte ich nicht einfach die Dateien überschreiben, nur die neue Code einfügen, am bestens benutze  ich WinMerge und prüft was geändert ist. Bei beide Dateien? Das bedeutet das auch mit DirectURL ein Sicherheitsrisiko besteht.

Grüße
annemie

[Bierbaron]

Für ältere xt:Commerce Versionen wird ein Update auf aktuellste xt:Commerce 3.0.4 SP2.1 dringenst empfohlen.

Na herrlich - ich hab' mir grad mal bei ner ollen Version 3.0.3 die metatags.php, application_top.php und sicherheitshalber die (früher schonmal gepatchte) shop_content.php angeschaut - da sind die Sicherheitslücken nicht drin... *freu* Im Gegenteil, da wird bei mir alles schön bereinigt