Werbung / Banner buchen
Neuigkeiten

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)  (Gelesen 2047 mal)

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.081
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Liebe Community,

im PHPMailer wurde eine Sicherheitslücke gefunden, die alle veröffentlichten Shopversionen von modified eCommerce betrifft.

Es ist jedem zu raten diese mittels angehängtem Patch zu schliessen.

Download des Fixes: Klick mich

Wir wünschen euch weiterhin gute Geschäfte und viel Spass mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

Linkback: http://www.modified-shop.org/forum/index.php?topic=36327.0

Offline lfedl

  • Neu im Forum
  • *
  • Beiträge: 7
    • Teile Beitrag

Offline Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 964
    • Teile Beitrag
    • Nagers Futterstube

Offline Jürgen

  • Viel Schreiber
  • *****
  • Beiträge: 646
  • Geschlecht: Männlich
    • Teile Beitrag
Danke für den fix....  :thx:

P.S. Den Ordner /language aus dem fix für 1.X shops mit den Dateien

phpmailer.lang-de.php
phpmailer.lang-en.php

gibt es in meiner Version, leider immernoch ein 1.6  :’-(, nicht.

In meiner Version liegen die beiden Dateien im übergeordneten Verzeichnis /classes

Gruss

Jürgen

Offline Cookie

  • Fördermitglied
  • *****
  • Beiträge: 255
    • Teile Beitrag
Hallo,

ich nutze den Versand über SMTP bei einer 1.06 Shopsoftware. Hier funktioniert die neue Class nicht richtig, da die class.smtp.php nicht geladen wird.

Ich habe folgendes in Zeile 1523 eingefügt:
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

Dann läuft es.

Grüße
Christian

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 253
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Ohne Probleme hochgeladen in
modified eCommerce Shopssoftware v1.06 rev 4642 SP2 dated: 2014-08-12 - Datenbank Version: "MOD_1.0.6.0

Herzlichen Dank  :thx:

Herr_Bert

Offline tombstone

  • Neu im Forum
  • *
  • Beiträge: 12
    • Teile Beitrag
Hallo,

ich nutze den Versand über SMTP bei einer 1.06 Shopsoftware. Hier funktioniert die neue Class nicht richtig, da die class.smtp.php nicht geladen wird.

Ich habe folgendes in Zeile 1523 eingefügt:
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

Dann läuft es.

Grüße
Christian

müsste das
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

nicht nach Zeile 1541 in die Funktion

protected function smtpSend($header, $body)

der Datei class.phpmailer.php rein?  :-?

Offline christianwagner

  • Neu im Forum
  • *
  • Beiträge: 22
    • Teile Beitrag
v1.06 rev 4356 dated: 2013-01-23

Es kommt die Meldung:

Fatal error: Class 'SMTP' not found in .../..../includes/classes/class.phpmailer.php on line 1523

p.s. Das Verzeichnis für classes/language wurde extra erstellt und war vorher nicht vorhanden.

gruss
chris

*nachtrag*

Ich habe erst das vom vorposter probiert mit zeile 1523 = hat nicht funktioniert und dann das von tombstone mit zeile 1541 = jetzt scheint es zu laufen. Keine Fehlermeldung und Benachrichtigungen kommen an.

Offline ambi

  • Neu im Forum
  • *
  • Beiträge: 3
  • Geschlecht: Männlich
    • Teile Beitrag
    • AmbiBike Motorradzubehör
Kann mich anschließen (Version 1.05). Die Beschreibung von tombstone hat auch bei mir den Fehler gelöst

Vielen Dank :-)

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 253
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Wird der Schnipsel vor oder nach der Klammer eingefügt, ist das so

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

richtig?

Herr_Bert

Offline tombstone

  • Neu im Forum
  • *
  • Beiträge: 12
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #10 am: 06. Januar 2017, 11:08:19 »
@Herr_Bert

er wird nach der Klammer eingefügt

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

so wie es von ihnen eingebaut ist => Ist es also richtig  :-)

Offline kumpelmagnet

  • Mitglied
  • ***
  • Beiträge: 176
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #11 am: 06. Januar 2017, 11:25:28 »
Hallo,

ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet :-)

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

Grüsse

Anton

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 253
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #12 am: 06. Januar 2017, 11:30:24 »
Prima, besten Dank dafür  :thx:

Herr_Bert

Offline ELF-K11

  • Neu im Forum
  • *
  • Beiträge: 24
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #13 am: 06. Januar 2017, 12:40:11 »
Hallo,

vielen Dank für den Patch.

Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?

Gruß

ELF-K11

Offline Schreinermeister

  • Fördermitglied
  • *****
  • Beiträge: 142
  • Geschlecht: Männlich
    • Teile Beitrag
    • Selbst-schreinern.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #14 am: 06. Januar 2017, 14:11:26 »
Hallo zusammen.

modified eCommerce Shopssoftware v1.06 rev 4642 SP4 dated: 2016-04-01
Datenbank Version: "MOD_1.0.6.4"

Eben Sicherheitspatch durchgeführt.

Bisher kein Fehler erkennbar.

Gruß Chris.

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.081
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #15 am: 06. Januar 2017, 14:21:13 »
[...]
ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet :-)

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

[...]

Danke für den Hinweis! Ich habe das Fix-Paket entsprechend korrigiert. Der Fehler tritt nur bei Shops auf, die den E-Mail Versand per SMTP durchführen. Alle anderen E-Mail Transport-Methoden sind davon nicht betroffen gewesen!

[...]
Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?
[...]

Wenn man sich mal den Code der ursprünglichen Datei "/includes/classes/class.phpmailer.php" anschaut, dann wird man feststellen, dass die beiden zugehörigen Sprachdateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" nie geladen wurden und auf das Fallback der Definitionen innerhalb der "/includes/classes/class.phpmailer.php" zurück gegriffen wurde.
Die Sprachdateien gehören, so wie im Paket angelegt, in den Ordner "/includes/classes/language/".
Die beiden alten Dateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" können gelöscht werden, müssen aber nicht.

Grüße

Torsten

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 253
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #16 am: 06. Januar 2017, 14:49:27 »
@ Schreinermeister
Das könnte sich ändern sobald der Shop versucht eine Mail an den Kunden zu senden, dann einfach den Tip von tombstone ausführen  :thumbs:

Herr_Bert

Offline Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 964
    • Teile Beitrag
    • Nagers Futterstube
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #17 am: 06. Januar 2017, 14:50:46 »
Seltsam - ich hab auch SMTP eingestellt und bei mir ging es ohne das include_once... Warum?^^

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.097
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #18 am: 06. Januar 2017, 16:22:51 »
Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?

An Shopbetreiber. Achtung: Nicht produktiv nutzen. Danke.

Online |Alex|

  • Viel Schreiber
  • *****
  • Beiträge: 1.007
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #19 am: 06. Januar 2017, 16:44:20 »
Ist wahrscheinlich eine dumme Frage - aber ich gehe lieber auf Nummer sicher: Wurde der Fix bereits in den aktuellen Download-Paketen der Shopsoftware aktualisiert? :-D

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.081
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #20 am: 06. Januar 2017, 17:06:54 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?
[...]

Nein, denn es geht dabei nur um einen Fix und nicht um eine Funktionserweiterung. Diese kommen durch Update des Shops.
Der Fix soll ohne jegliche PHP-Kenntnisse für jeden Shopbetreiber selber per FTP-Zugang schnell ausführbar sein. Bei deinem vorgeschlagenen Paket muss man dann wieder zusätzlich an Dateien ran und auch mit phpMyAdmin umgehen können.

Grüße

Torsten

Online |Alex|

  • Viel Schreiber
  • *****
  • Beiträge: 1.007
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #21 am: 06. Januar 2017, 18:08:27 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Dann war meine Frage ja doch nicht so doof, wie ich dachte. :-D

Ich dachte, wir warten auf die 2.0.1.1?! :-O Aber egal, ich bin begeistert, wie kurz eure aktuellen Entwicklungszeiten sind.  :thx: Wird wohl bald mal Zeit für eine Spende. ;-)

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 61
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #22 am: 06. Januar 2017, 20:46:14 »
Hallo und Danke für den Patch,

ein Problem ist mir dabei aufgefallen.

Wir haben in den E-Mail Optionen im Admin, in der Einstellung "Verrechnung - Weiterleitungsadresse" 2 E-Mail Adresse mit einem Komma getrennt eingetragen, weil wir Bestellungen immer an 2 verschiedene Adresse gesendet bekommen. Also so: bestellung@shop.de, handy@shop.de

Seit wir den Patch eingespielt haben, kommen die E-Mails nicht mehr bei handy@shop.de an, sondern nur noch bei bestellung@shop.de.

Wahrscheinlich war unsere bisherige Lösung eh nicht 100% wie gedacht, funktionierte aber schon zu xtc Zeiten gut ;-)

Liegt da ein Fehler im Fix vor oder ist das dann jetzt so?

Herzlichen Dank und Grüße

PS: Wir nutzen den PHP Mailer

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #23 am: 13. Januar 2017, 11:51:05 »
Kann ich bestätigen, es wird dann offenbar nur noch an die erste E-Mail-Adresse versendet bei "Verrechnung - Weiterleitungsadressen"
Bisher konnte an mehrere Adressen gemailt werden, mit Komma getrennt.
Das war offenbar auch "offiziell" so gedacht, sonst würde in den E-Mail-Einstellungen nicht Adressen im Plural da stehen und dahinter
"Geben Sie weitere Mailadressen ein, wohin die E-Mails des Verrechnungssystem noch versendet werden sollen (mit , getrennt)"

Das geht jetzt nach dem Sicherheitspatch nicht mehr. Nur noch eine E-Mail Adresse wird benutzt.
Wie kann das gefixt werden? Sonst kann die Funktionserklärung so nicht stehenbleiben.

EDIT: ich hab E-Mail Transport Methode: mail eingestellt

Offline web28

  • modified Team
  • *****
  • Beiträge: 8.835
    • Teile Beitrag
    • http://www.rpa-com.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #24 am: 13. Januar 2017, 13:27:55 »
inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:
Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.

Gruss Web28

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #25 am: 13. Januar 2017, 14:38:28 »
Topp, danke Web28 !!!  :thumbs:

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 61
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #26 am: 13. Januar 2017, 15:54:36 »
Danke auch von mir! Geht wieder. Super.

Offline AllyG

  • Schreiberling
  • ****
  • Beiträge: 286
  • Geschlecht: Männlich
    • Teile Beitrag
    • Adrenalin-Fishing
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #27 am: 15. Januar 2017, 14:34:57 »
Hab die Dateien auf meine derzeitigen 1.06 SP4 hochgeladen und bekomme folgende Meldung:
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369
 Message was not sent

Offline allex

  • Neu im Forum
  • *
  • Beiträge: 6
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #28 am: 16. Januar 2017, 07:11:54 »
Hab den Fix aufgespielt (auf 1.06 SP4) und mal mit Passwort vergessen getestet. Eingestellt ist smtp Mailversand. Bekomme folgende Fehlermeldung:

Message was not sent

Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting


Vor dem Patch lief alles problemlos.

Offline oneQ

  • Schreiberling
  • ****
  • Beiträge: 259
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #29 am: 16. Januar 2017, 11:44:26 »
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369


Mal als SMTP Server den XXX.kasserver.com probiert? Sieht man im KAS, wenn man auf die Settings von der E-Mail Adresse geht.

Offline AllyG

  • Schreiberling
  • ****
  • Beiträge: 286
  • Geschlecht: Männlich
    • Teile Beitrag
    • Adrenalin-Fishing
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #30 am: 16. Januar 2017, 15:32:26 »
Hallo oneQ,

scheint genau daran gelegen zu haben. Ich hatte die ganze Zeit smtp.domain.de genutzt (hat bisher auch funktioniert) aber so geht das natürlich auch ;)

Danke :)

Offline oneQ

  • Schreiberling
  • ****
  • Beiträge: 259
    • Teile Beitrag
Geht das nur mir so, oder bekommen andere jetzt auch einige SPAM Mails mehr?

Shop 1.6 SP4

Immer das gleiche Prinzip:

Zitat
Firma: google
.
.
.

Nachricht:
wh0cd....

Offline MrArcticus

  • Neu im Forum
  • *
  • Beiträge: 19
    • Teile Beitrag
Hallo,

die von oneQ erwähnten SPAM-Mails bekomme ich jetzt auch, dafür funktioniert bei mir - trotz beschriebener Einbindung der class.smtp.php - der Mail-Versand nicht mehr :-(

Viele Grüße
Karsten P.

Online sammar

  • Frisch an Board
  • **
  • Beiträge: 75
    • Teile Beitrag
Hallo
Muss man diesen Patch auch dann ausführen wenn man auf die aktuelle Version 2.0.2 updaten oder ist dieser bereits in dieser mit drin?

Offline Selo

  • Neu im Forum
  • *
  • Beiträge: 35
  • Geschlecht: Männlich
    • Teile Beitrag
    • Bilder und Grußkarten
Hallo,

die Codezeilen zum ersetzen aus der inc/xtc_php_mail.inc.php, die web28 gepostet hat, sehen bei mir ganz anders aus. Da stehen in meiner Datei 3 Zeilen, ohne geschweifte Klamer:

Code: PHP  [Auswählen]
if ($forwarding_to != '')
                $mail->AddBCC($forwarding_to);
        $mail->AddReplyTo($reply_address, $reply_address_name);

Sollen diese Zeilen mit den angegebenen Zeilen ersetzt werden?

In dem Ordner mit den neuen Dateien ist ein Ordner language, den gibt es bei mir gar nicht, auch nicht die darin enthaltenen Dateien. Was muss ich da machen? Einfach den Ordner mit hochladen?

Meine Sopversion ist: modified eCommerce Shopsoftware v1.05 dated: 2010-07-18

Dankeschön für eine Antwort und viele Grüße von Lothar


Teile per facebook Teile per linkedin Teile per twitter

xx
Sicherheitspatch für alle Shopversionen (security_fix_2014_12_17.zip)

Begonnen von Tomcraft

38 Antworten
40287 Aufrufe
Letzter Beitrag 24. März 2015, 16:43:13
von Morka
exclamation
Sicherheitspatch für alle Shopversionen (security_fix_2013_12_11.zip)

Begonnen von GTB

142 Antworten
42157 Aufrufe
Letzter Beitrag 16. Januar 2014, 21:29:38
von Matt
xx
Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)

Begonnen von Tomcraft

50 Antworten
19250 Aufrufe
Letzter Beitrag 24. November 2015, 20:02:58
von borkumer
xx
Sicherheitspatch für Shopversionen ab 1.05 SP1b (security_fix_2015_12_01.zip)

Begonnen von Tomcraft

26 Antworten
12570 Aufrufe
Letzter Beitrag 09. Dezember 2015, 18:04:57
von voodoopupp
 


             
anything