Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)  (Gelesen 6464 mal)

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.547
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Liebe Community,

im PHPMailer wurde eine Sicherheitslücke gefunden, die alle veröffentlichten Shopversionen von modified eCommerce betrifft.

Es ist jedem zu raten diese mittels angehängtem Patch zu schliessen.

Download des Fixes: Klick mich

Wir wünschen euch weiterhin gute Geschäfte und viel Spass mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

Linkback: https://www.modified-shop.org/forum/index.php?topic=36327.0

modified eCommerce Shopsoftware Templates

Offline wissam

  • Neu im Forum
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
    • Teile Beitrag

Online Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 987
    • Teile Beitrag
    • Futterkrämerei

Offline Jürgen

  • Viel Schreiber
  • *****
  • Beiträge: 659
  • Geschlecht: Männlich
    • Teile Beitrag
Danke für den fix....  :thx:

P.S. Den Ordner /language aus dem fix für 1.X shops mit den Dateien

phpmailer.lang-de.php
phpmailer.lang-en.php

gibt es in meiner Version, leider immernoch ein 1.6  :’-(, nicht.

In meiner Version liegen die beiden Dateien im übergeordneten Verzeichnis /classes

Gruss

Jürgen

Offline Cookie

  • Fördermitglied
  • *****
  • Beiträge: 257
    • Teile Beitrag
Hallo,

ich nutze den Versand über SMTP bei einer 1.06 Shopsoftware. Hier funktioniert die neue Class nicht richtig, da die class.smtp.php nicht geladen wird.

Ich habe folgendes in Zeile 1523 eingefügt:
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

Dann läuft es.

Grüße
Christian

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 401
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Ohne Probleme hochgeladen in
modified eCommerce Shopssoftware v1.06 rev 4642 SP2 dated: 2014-08-12 - Datenbank Version: "MOD_1.0.6.0

Herzlichen Dank  :thx:

Herr_Bert

Offline tombstone

  • Neu im Forum
  • *
  • Beiträge: 12
    • Teile Beitrag
Hallo,

ich nutze den Versand über SMTP bei einer 1.06 Shopsoftware. Hier funktioniert die neue Class nicht richtig, da die class.smtp.php nicht geladen wird.

Ich habe folgendes in Zeile 1523 eingefügt:
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

Dann läuft es.

Grüße
Christian

müsste das
Code: PHP  [Auswählen]
include_once($this->PluginDir . 'class.smtp.php');

nicht nach Zeile 1541 in die Funktion

protected function smtpSend($header, $body)

der Datei class.phpmailer.php rein?  :-?

Offline christianwagner

  • Neu im Forum
  • *
  • Beiträge: 39
    • Teile Beitrag
v1.06 rev 4356 dated: 2013-01-23

Es kommt die Meldung:

Code: PHP  [Auswählen]
Fatal error: Class 'SMTP' not found in .../..../includes/classes/class.phpmailer.php on line 1523

p.s. Das Verzeichnis für classes/language wurde extra erstellt und war vorher nicht vorhanden.

gruss
chris

*nachtrag*

Ich habe erst das vom vorposter probiert mit zeile 1523 = hat nicht funktioniert und dann das von tombstone mit zeile 1541 = jetzt scheint es zu laufen. Keine Fehlermeldung und Benachrichtigungen kommen an.

Offline ambi

  • Fördermitglied
  • *****
  • Beiträge: 8
  • Geschlecht: Männlich
    • Teile Beitrag
    • AmbiBike Motorradzubehör
Kann mich anschließen (Version 1.05). Die Beschreibung von tombstone hat auch bei mir den Fehler gelöst

Vielen Dank :-)

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 401
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Wird der Schnipsel vor oder nach der Klammer eingefügt, ist das so

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

richtig?

Herr_Bert

Offline tombstone

  • Neu im Forum
  • *
  • Beiträge: 12
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #10 am: 06. Januar 2017, 11:08:19 »
@Herr_Bert

er wird nach der Klammer eingefügt

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

so wie es von ihnen eingebaut ist => Ist es also richtig  :-)

Offline kumpelmagnet

  • Mitglied
  • ***
  • Beiträge: 182
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #11 am: 06. Januar 2017, 11:25:28 »
Hallo,

ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet :-)

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

Grüsse

Anton

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 401
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #12 am: 06. Januar 2017, 11:30:24 »
Prima, besten Dank dafür  :thx:

Herr_Bert

Offline ELF-K11

  • Neu im Forum
  • *
  • Beiträge: 26
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #13 am: 06. Januar 2017, 12:40:11 »
Hallo,

vielen Dank für den Patch.

Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?

Gruß

ELF-K11

Offline Schreinermeister

  • Fördermitglied
  • *****
  • Beiträge: 143
  • Geschlecht: Männlich
    • Teile Beitrag
    • Selbst-schreinern.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #14 am: 06. Januar 2017, 14:11:26 »
Hallo zusammen.

modified eCommerce Shopssoftware v1.06 rev 4642 SP4 dated: 2016-04-01
Datenbank Version: "MOD_1.0.6.4"

Eben Sicherheitspatch durchgeführt.

Bisher kein Fehler erkennbar.

Gruß Chris.

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.547
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #15 am: 06. Januar 2017, 14:21:13 »
[...]
ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet :-)

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

[...]

Danke für den Hinweis! Ich habe das Fix-Paket entsprechend korrigiert. Der Fehler tritt nur bei Shops auf, die den E-Mail Versand per SMTP durchführen. Alle anderen E-Mail Transport-Methoden sind davon nicht betroffen gewesen!

[...]
Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?
[...]

Wenn man sich mal den Code der ursprünglichen Datei "/includes/classes/class.phpmailer.php" anschaut, dann wird man feststellen, dass die beiden zugehörigen Sprachdateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" nie geladen wurden und auf das Fallback der Definitionen innerhalb der "/includes/classes/class.phpmailer.php" zurück gegriffen wurde.
Die Sprachdateien gehören, so wie im Paket angelegt, in den Ordner "/includes/classes/language/".
Die beiden alten Dateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" können gelöscht werden, müssen aber nicht.

Grüße

Torsten

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 401
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #16 am: 06. Januar 2017, 14:49:27 »
@ Schreinermeister
Das könnte sich ändern sobald der Shop versucht eine Mail an den Kunden zu senden, dann einfach den Tip von tombstone ausführen  :thumbs:

Herr_Bert

Online Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 987
    • Teile Beitrag
    • Futterkrämerei
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #17 am: 06. Januar 2017, 14:50:46 »
Seltsam - ich hab auch SMTP eingestellt und bei mir ging es ohne das include_once... Warum?^^

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.239
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #18 am: 06. Januar 2017, 16:22:51 »
Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?

An Shopbetreiber. Achtung: Nicht produktiv nutzen. Danke.

Online awids

  • Fördermitglied
  • *****
  • Beiträge: 1.712
  • Geschlecht: Männlich
    • Teile Beitrag
    • awids.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #19 am: 06. Januar 2017, 16:44:20 »
Ist wahrscheinlich eine dumme Frage - aber ich gehe lieber auf Nummer sicher: Wurde der Fix bereits in den aktuellen Download-Paketen der Shopsoftware aktualisiert? :-D

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.547
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #20 am: 06. Januar 2017, 17:06:54 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?
[...]

Nein, denn es geht dabei nur um einen Fix und nicht um eine Funktionserweiterung. Diese kommen durch Update des Shops.
Der Fix soll ohne jegliche PHP-Kenntnisse für jeden Shopbetreiber selber per FTP-Zugang schnell ausführbar sein. Bei deinem vorgeschlagenen Paket muss man dann wieder zusätzlich an Dateien ran und auch mit phpMyAdmin umgehen können.

Grüße

Torsten

Online awids

  • Fördermitglied
  • *****
  • Beiträge: 1.712
  • Geschlecht: Männlich
    • Teile Beitrag
    • awids.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #21 am: 06. Januar 2017, 18:08:27 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Dann war meine Frage ja doch nicht so doof, wie ich dachte. :-D

Ich dachte, wir warten auf die 2.0.1.1?! :-O Aber egal, ich bin begeistert, wie kurz eure aktuellen Entwicklungszeiten sind.  :thx: Wird wohl bald mal Zeit für eine Spende. ;-)

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 72
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #22 am: 06. Januar 2017, 20:46:14 »
Hallo und Danke für den Patch,

ein Problem ist mir dabei aufgefallen.

Wir haben in den E-Mail Optionen im Admin, in der Einstellung "Verrechnung - Weiterleitungsadresse" 2 E-Mail Adresse mit einem Komma getrennt eingetragen, weil wir Bestellungen immer an 2 verschiedene Adresse gesendet bekommen. Also so: bestellung@shop.de, handy@shop.de

Seit wir den Patch eingespielt haben, kommen die E-Mails nicht mehr bei handy@shop.de an, sondern nur noch bei bestellung@shop.de.

Wahrscheinlich war unsere bisherige Lösung eh nicht 100% wie gedacht, funktionierte aber schon zu xtc Zeiten gut ;-)

Liegt da ein Fehler im Fix vor oder ist das dann jetzt so?

Herzlichen Dank und Grüße

PS: Wir nutzen den PHP Mailer

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #23 am: 13. Januar 2017, 11:51:05 »
Kann ich bestätigen, es wird dann offenbar nur noch an die erste E-Mail-Adresse versendet bei "Verrechnung - Weiterleitungsadressen"
Bisher konnte an mehrere Adressen gemailt werden, mit Komma getrennt.
Das war offenbar auch "offiziell" so gedacht, sonst würde in den E-Mail-Einstellungen nicht Adressen im Plural da stehen und dahinter
"Geben Sie weitere Mailadressen ein, wohin die E-Mails des Verrechnungssystem noch versendet werden sollen (mit , getrennt)"

Das geht jetzt nach dem Sicherheitspatch nicht mehr. Nur noch eine E-Mail Adresse wird benutzt.
Wie kann das gefixt werden? Sonst kann die Funktionserklärung so nicht stehenbleiben.

EDIT: ich hab E-Mail Transport Methode: mail eingestellt

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.184
    • Teile Beitrag
    • http://www.rpa-com.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #24 am: 13. Januar 2017, 13:27:55 »
inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:
Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.

Gruss Web28

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #25 am: 13. Januar 2017, 14:38:28 »
Topp, danke Web28 !!!  :thumbs:

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 72
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #26 am: 13. Januar 2017, 15:54:36 »
Danke auch von mir! Geht wieder. Super.

Offline AllyG

  • Schreiberling
  • ****
  • Beiträge: 323
  • Geschlecht: Männlich
    • Teile Beitrag
    • Adrenalin-Fishing
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #27 am: 15. Januar 2017, 14:34:57 »
Hab die Dateien auf meine derzeitigen 1.06 SP4 hochgeladen und bekomme folgende Meldung:
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369
 Message was not sent

Offline allex

  • Neu im Forum
  • *
  • Beiträge: 6
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #28 am: 16. Januar 2017, 07:11:54 »
Hab den Fix aufgespielt (auf 1.06 SP4) und mal mit Passwort vergessen getestet. Eingestellt ist smtp Mailversand. Bekomme folgende Fehlermeldung:

Message was not sent

Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting


Vor dem Patch lief alles problemlos.

Offline oneQ

  • Schreiberling
  • ****
  • Beiträge: 344
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #29 am: 16. Januar 2017, 11:44:26 »
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369


Mal als SMTP Server den XXX.kasserver.com probiert? Sieht man im KAS, wenn man auf die Settings von der E-Mail Adresse geht.

Offline AllyG

  • Schreiberling
  • ****
  • Beiträge: 323
  • Geschlecht: Männlich
    • Teile Beitrag
    • Adrenalin-Fishing
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #30 am: 16. Januar 2017, 15:32:26 »
Hallo oneQ,

scheint genau daran gelegen zu haben. Ich hatte die ganze Zeit smtp.domain.de genutzt (hat bisher auch funktioniert) aber so geht das natürlich auch ;)

Danke :)

Offline oneQ

  • Schreiberling
  • ****
  • Beiträge: 344
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #31 am: 21. Januar 2017, 18:49:17 »
Geht das nur mir so, oder bekommen andere jetzt auch einige SPAM Mails mehr?

Shop 1.6 SP4

Immer das gleiche Prinzip:

Zitat
Firma: google
.
.
.

Nachricht:
wh0cd....

Offline MrArcticus

  • Neu im Forum
  • *
  • Beiträge: 19
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #32 am: 21. Januar 2017, 20:58:47 »
Hallo,

die von oneQ erwähnten SPAM-Mails bekomme ich jetzt auch, dafür funktioniert bei mir - trotz beschriebener Einbindung der class.smtp.php - der Mail-Versand nicht mehr :-(

Viele Grüße
Karsten P.

Offline sammar

  • Frisch an Board
  • **
  • Beiträge: 84
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #33 am: 22. Januar 2017, 09:17:14 »
Hallo
Muss man diesen Patch auch dann ausführen wenn man auf die aktuelle Version 2.0.2 updaten oder ist dieser bereits in dieser mit drin?

Offline Selo

  • Neu im Forum
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
    • Teile Beitrag
    • Bilder und Grußkarten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #34 am: 22. Januar 2017, 10:12:46 »
Hallo,

die Codezeilen zum ersetzen aus der inc/xtc_php_mail.inc.php, die web28 gepostet hat, sehen bei mir ganz anders aus. Da stehen in meiner Datei 3 Zeilen, ohne geschweifte Klamer:

Code: PHP  [Auswählen]
if ($forwarding_to != '')
                $mail->AddBCC($forwarding_to);
        $mail->AddReplyTo($reply_address, $reply_address_name);

Sollen diese Zeilen mit den angegebenen Zeilen ersetzt werden?

In dem Ordner mit den neuen Dateien ist ein Ordner language, den gibt es bei mir gar nicht, auch nicht die darin enthaltenen Dateien. Was muss ich da machen? Einfach den Ordner mit hochladen?

Meine Sopversion ist: modified eCommerce Shopsoftware v1.05 dated: 2010-07-18

Dankeschön für eine Antwort und viele Grüße von Lothar

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 8.979
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #35 am: 25. Januar 2017, 16:18:47 »
Für dich muß es so aussehen:
Code: PHP  [Auswählen]
if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
        $mail->AddBCC(trim($forwarding_address));
    }
 }
$mail->AddReplyTo($reply_address, $reply_address_name);

In deiner Version ist eine Kurzform für eine if-Clause benutzt worden, die, wenn innerhalb der if-Clause nur ein Befehl folgt, auf die {} verzichten kann. Das heißt, daß
Code: PHP  [Auswählen]
$mail->AddReplyTo($reply_address, $reply_address_name);
nicht in die if-Clause gehört.

Zu den language-Dateien siehe am Ende dieses Posts von Tomcraft in vorliegendem Thread (den du, hättest du den Thread gelesen, gefunden hättest).

Gruß,
noRiddle

Offline Selo

  • Neu im Forum
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
    • Teile Beitrag
    • Bilder und Grußkarten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #36 am: 27. Januar 2017, 01:05:30 »
Dankeschön noRiddle,
es funktioniert. Ich hatte vorher schon probiert und es wurden eigenartigerweise alle Mails richtig versendet auch ohne diese letzte Zeile:
Code: PHP  [Auswählen]
$mail->AddReplyTo($reply_address, $reply_address_name);

Viele Grüße von Lothar

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 144
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #37 am: 07. Februar 2017, 17:32:24 »
Hab den Fix aufgespielt (auf 1.06 SP4) und mal mit Passwort vergessen getestet. Eingestellt ist smtp Mailversand. Bekomme folgende Fehlermeldung:

Message was not sent

Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting


Vor dem Patch lief alles problemlos.
Hallo,

ich habe die gleiche Fehlermeldung beim Bestellabschluss nach Klick auf den "Kaufen-Button" trotz Austausch der korrigierten "class.phpmailer.php" (1.06 rev 4642 SP2)!
Mein Shop wird dadurch quasi lahmgelegt, denn es kann keine Bestellung mehr durchgeführt werden, da der Kunde keine Bestell-Email erhält. Ohne diesen Security_Fix_2017_01_05 Sicherheitspatch funktioniert alles problemlos.

Hat jemand einen Tipp, woran das liegen kann?

Gruß,

Alex23

Offline hbauer

  • Experte
  • *****
  • Beiträge: 858
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #38 am: 13. Februar 2017, 10:56:00 »
hier der gleiche Fehler

Offline hbauer

  • Experte
  • *****
  • Beiträge: 858
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #39 am: 13. Februar 2017, 12:10:28 »
bei mir lag der "Fehler" in der Konfiguration des smtp servers. Dort stand localhost

Aufgrund dieses Hinweises:

>  Be aware that in PHP >= 5.6 this requires that the server's certificates are valid

habe ich den vollen Servernamen eingetragen für den auch das TLS Certificat ausgestellt wurde.

=> Mails aus dem Kontaktformular und Bestellbestätigungen gingen raus.

Kann man das aus irgendwelchen Gründen nicht ändern oder der Server hat kein valides Zertifikat könnte man wohl auch in der class.phpmailer.php

>  public $SMTPAutoTLS = false;

setzen.

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 8.979
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #40 am: 13. Februar 2017, 12:58:15 »
Interessante Info, danke dafür hbauer.

Gruß,
noRiddle

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 144
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #41 am: 19. Februar 2017, 15:27:50 »
Hallo,

schade, dass nach 12 Tagen mir immer noch keiner weiterhelfen kann.
Dann muss ich leider ohne diesen Security_Fix_2017_01_05 Sicherheitspatch auskommen!

Gruß,

Alex23

Offline hbauer

  • Experte
  • *****
  • Beiträge: 858
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #42 am: 19. Februar 2017, 17:39:12 »
@Alex

was steht denn bei Dir als smtp server drin?

Gruß
Hagen

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 144
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #43 am: 19. Februar 2017, 20:05:07 »
@Hagen
sorry, steht gerade etwas auf dem Schlauch.
Wo bitte muss ich denn da nachsehen?

Gruß,

Alex23

Offline Viol

  • Fördermitglied
  • *****
  • Beiträge: 906
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #44 am: 19. Februar 2017, 20:18:20 »
Im Backend Konfiguration Mail Einstellung

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 144
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #45 am: 19. Februar 2017, 20:36:15 »
Im Backend -> Konfiguration -> E-Mail Optionen steht bei mir:

Adresse des SMTP Servers: wp1026061.wp247.webpack.hosteurope.de

Gruß,

Alex23

Offline hbauer

  • Experte
  • *****
  • Beiträge: 858
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #46 am: 19. Februar 2017, 20:50:38 »
Ich bin jetzt kein smtp Spezialist aber ich glaube das Du das selbe Problem hast das ich auch hatte.

Dein SMTP Server macht TLS/SSL. Unter der Adresse wp1026061.wp247.webpack.hosteurope.de antwortet aber der smtp server mit einem anderen Namen wie man hier https://mxtoolbox.com/SuperTool.aspx# sehen kann

Code: PHP  [Auswählen]
Connecting to 80.237.133.16

220 wp247.webpack.hosteurope.de ESMTP Host Europe Mail Service Sun, 19 Feb 2017 20:44:35 +0100 [766 ms]
EHLO PWS3.mxtoolbox.com
250-wp247.webpack.hosteurope.de Hello pws3.mxtoolbox.com [64.20.227.134]
250-SIZE 36700160
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP [766 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 OK [766 ms]

Ich vermute folgendes:
- der SMTP Server heißt : wp247.webpack.hosteurope.de
- der kann TLS
- und antwortet mit einem Zertifikat für wp247.webpack.hosteurope.de
- das PHP Script kann aber nicht damit umgehen.

Ich würde mal ausprobieren was passiert wenn Du als smtp server wp247.webpack.hosteurope.de einträgst.

Aber wie gesagt. Begründete Spekulation. Use at your own risk.

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 144
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #47 am: 20. Februar 2017, 16:16:08 »
@Hagen
super, daran hat es tatsächlich gelegen! Du lagst mit deiner Vermutung 100%ig richtig.
Herzlichen Dank für deinen Tipp.

@Viol
Ich danke dir ebenfalls.

@Web28
Ich habe deinen Patch (/inc/xtc_php_mail.inc.php) auch gleich noch mit eingebaut und hoffe, dass sich damit jetzt nicht auch noch ein neues Problem einschleicht!

Gruß,

Alex23

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.184
    • Teile Beitrag
    • http://www.rpa-com.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #48 am: 20. Februar 2017, 18:19:35 »
Eigentlich sollte der SMTP Emaiversand mit den Daten funktionieren die man bei gängigen Emailprogrammen eingibt.

Beispiel für Thunderbird:

https://www.hosteurope.de/faq/e-mail/mailprogramme/thunderbird/

Gruss Web28

Offline hbauer

  • Experte
  • *****
  • Beiträge: 858
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #49 am: 20. Februar 2017, 21:12:40 »
Eigentlich sollte der SMTP Emaiversand mit den Daten funktionieren die man bei gängigen Emailprogrammen eingibt.
[...]

Den gängingen Email Programmen kann man aber sagen das sie Zeritifikate mit anderen Namen aktzepieren. Der PHP Mailer kann das aber nicht.

Offline 0815

  • Viel Schreiber
  • *****
  • Beiträge: 831
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #50 am: 24. Februar 2017, 13:22:48 »
Nach dem Einspielen des Sicherheitspatches hatte ich bei einigen Shops Probleme mit der Verbindung zum Smtp-Server.
Zitat
Message was not sent

Mailer Error: smtp_connect_failed

Wie sich herausgestellt hat, mag der Patch einige meiner bisher problemlos verwendeten, sicheren Passwörter nicht.
Ich verwende immer 20-stellige Passwörter mit Großbuchstaben, Kleinbuchtsaben, Ziffern, Minus, Unterstrich, Sonderzeichen und Klammern.

Ich habe jetzte mal für die betroffenen Shops neue Passwörter generiert und dabei auf Sonderzeichen und Klammern verzichtet.
Mit diesen neuen Passwörtern war der Patch dann zufrieden und es wurden wieder Mails versendet.

Was ändert denn der Patch, so dass es damit die o.g. Probleme gibt?

Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.547
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
[...]
Was ändert denn der Patch, so dass es damit die o.g. Probleme gibt?

Bist du dir sicher, dass es an der Komplexität der Passwörter gelegen hat? :-?
Das würde mich wundern, wenn der PHPMailer hier einen Schritt zurück geht und mit komplexen Passwörtern auf einmal Probleme hätte.
Ich hatte heute den selben Fehler wie du in einem Kunden-Shop und da lag es an folgendem:

bei mir lag der "Fehler" in der Konfiguration des smtp servers. Dort stand localhost

Aufgrund dieses Hinweises:

>  Be aware that in PHP >= 5.6 this requires that the server's certificates are valid

habe ich den vollen Servernamen eingetragen für den auch das TLS Certificat ausgestellt wurde.

=> Mails aus dem Kontaktformular und Bestellbestätigungen gingen raus.

Kann man das aus irgendwelchen Gründen nicht ändern oder der Server hat kein valides Zertifikat könnte man wohl auch in der class.phpmailer.php

>  public $SMTPAutoTLS = false;

setzen.

Bzw.:

Ich bin jetzt kein smtp Spezialist aber ich glaube das Du das selbe Problem hast das ich auch hatte.

Dein SMTP Server macht TLS/SSL. Unter der Adresse wp1026061.wp247.webpack.hosteurope.de antwortet aber der smtp server mit einem anderen Namen wie man hier https://mxtoolbox.com/SuperTool.aspx# sehen kann

Code: PHP  [Auswählen]
Connecting to 80.237.133.16

220 wp247.webpack.hosteurope.de ESMTP Host Europe Mail Service Sun, 19 Feb 2017 20:44:35 +0100 [766 ms]
EHLO PWS3.mxtoolbox.com
250-wp247.webpack.hosteurope.de Hello pws3.mxtoolbox.com [64.20.227.134]
250-SIZE 36700160
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP [766 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 OK [766 ms]

Ich vermute folgendes:
- der SMTP Server heißt : wp247.webpack.hosteurope.de
- der kann TLS
- und antwortet mit einem Zertifikat für wp247.webpack.hosteurope.de
- das PHP Script kann aber nicht damit umgehen.

Ich würde mal ausprobieren was passiert wenn Du als smtp server wp247.webpack.hosteurope.de einträgst.

Aber wie gesagt. Begründete Spekulation. Use at your own risk.

Hattest du das mal überprüft?

inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:
Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.
[...]

Das habe ich jetzt mal noch mit in die Installationsanleitung für 1.0x Shops mit aufgenommen.

Grüße

Torsten

Käufersiegel - das Online-Gütesiegel für Online-Shops

Teile per facebook Teile per linkedin Teile per twitter

 


             
anything