Käufersiegel - das Online-Gütesiegel für Online-Shops
Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)  (Gelesen 5217 mal)

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.419
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #15 am: 06. Januar 2017, 14:21:13 »
[...]
ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet :-)

Code: PHP  [Auswählen]
protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

[...]

Danke für den Hinweis! Ich habe das Fix-Paket entsprechend korrigiert. Der Fehler tritt nur bei Shops auf, die den E-Mail Versand per SMTP durchführen. Alle anderen E-Mail Transport-Methoden sind davon nicht betroffen gewesen!

[...]
Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?
[...]

Wenn man sich mal den Code der ursprünglichen Datei "/includes/classes/class.phpmailer.php" anschaut, dann wird man feststellen, dass die beiden zugehörigen Sprachdateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" nie geladen wurden und auf das Fallback der Definitionen innerhalb der "/includes/classes/class.phpmailer.php" zurück gegriffen wurde.
Die Sprachdateien gehören, so wie im Paket angelegt, in den Ordner "/includes/classes/language/".
Die beiden alten Dateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" können gelöscht werden, müssen aber nicht.

Grüße

Torsten

Offline Herr_Bert

  • Fördermitglied
  • *****
  • Beiträge: 352
  • Geschlecht: Männlich
    • Teile Beitrag
    • E-Zigaretten
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #16 am: 06. Januar 2017, 14:49:27 »
@ Schreinermeister
Das könnte sich ändern sobald der Shop versucht eine Mail an den Kunden zu senden, dann einfach den Tip von tombstone ausführen  :thumbs:

Herr_Bert

Offline Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 981
    • Teile Beitrag
    • Futterkrämerei
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #17 am: 06. Januar 2017, 14:50:46 »
Seltsam - ich hab auch SMTP eingestellt und bei mir ging es ohne das include_once... Warum?^^

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.191
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #18 am: 06. Januar 2017, 16:22:51 »
Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?

An Shopbetreiber. Achtung: Nicht produktiv nutzen. Danke.

Offline awids

  • Fördermitglied
  • *****
  • Beiträge: 1.473
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #19 am: 06. Januar 2017, 16:44:20 »
Ist wahrscheinlich eine dumme Frage - aber ich gehe lieber auf Nummer sicher: Wurde der Fix bereits in den aktuellen Download-Paketen der Shopsoftware aktualisiert? :-D

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.419
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #20 am: 06. Januar 2017, 17:06:54 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?
[...]

Nein, denn es geht dabei nur um einen Fix und nicht um eine Funktionserweiterung. Diese kommen durch Update des Shops.
Der Fix soll ohne jegliche PHP-Kenntnisse für jeden Shopbetreiber selber per FTP-Zugang schnell ausführbar sein. Bei deinem vorgeschlagenen Paket muss man dann wieder zusätzlich an Dateien ran und auch mit phpMyAdmin umgehen können.

Grüße

Torsten

Offline awids

  • Fördermitglied
  • *****
  • Beiträge: 1.473
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #21 am: 06. Januar 2017, 18:08:27 »
Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Dann war meine Frage ja doch nicht so doof, wie ich dachte. :-D

Ich dachte, wir warten auf die 2.0.1.1?! :-O Aber egal, ich bin begeistert, wie kurz eure aktuellen Entwicklungszeiten sind.  :thx: Wird wohl bald mal Zeit für eine Spende. ;-)

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 72
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #22 am: 06. Januar 2017, 20:46:14 »
Hallo und Danke für den Patch,

ein Problem ist mir dabei aufgefallen.

Wir haben in den E-Mail Optionen im Admin, in der Einstellung "Verrechnung - Weiterleitungsadresse" 2 E-Mail Adresse mit einem Komma getrennt eingetragen, weil wir Bestellungen immer an 2 verschiedene Adresse gesendet bekommen. Also so: bestellung@shop.de, handy@shop.de

Seit wir den Patch eingespielt haben, kommen die E-Mails nicht mehr bei handy@shop.de an, sondern nur noch bei bestellung@shop.de.

Wahrscheinlich war unsere bisherige Lösung eh nicht 100% wie gedacht, funktionierte aber schon zu xtc Zeiten gut ;-)

Liegt da ein Fehler im Fix vor oder ist das dann jetzt so?

Herzlichen Dank und Grüße

PS: Wir nutzen den PHP Mailer

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #23 am: 13. Januar 2017, 11:51:05 »
Kann ich bestätigen, es wird dann offenbar nur noch an die erste E-Mail-Adresse versendet bei "Verrechnung - Weiterleitungsadressen"
Bisher konnte an mehrere Adressen gemailt werden, mit Komma getrennt.
Das war offenbar auch "offiziell" so gedacht, sonst würde in den E-Mail-Einstellungen nicht Adressen im Plural da stehen und dahinter
"Geben Sie weitere Mailadressen ein, wohin die E-Mails des Verrechnungssystem noch versendet werden sollen (mit , getrennt)"

Das geht jetzt nach dem Sicherheitspatch nicht mehr. Nur noch eine E-Mail Adresse wird benutzt.
Wie kann das gefixt werden? Sonst kann die Funktionserklärung so nicht stehenbleiben.

EDIT: ich hab E-Mail Transport Methode: mail eingestellt

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.104
    • Teile Beitrag
    • http://www.rpa-com.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #24 am: 13. Januar 2017, 13:27:55 »
inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:
Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.

Gruss Web28

Offline yodolf

  • Neu im Forum
  • *
  • Beiträge: 18
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #25 am: 13. Januar 2017, 14:38:28 »
Topp, danke Web28 !!!  :thumbs:

Offline wbalter

  • Frisch an Board
  • **
  • Beiträge: 72
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #26 am: 13. Januar 2017, 15:54:36 »
Danke auch von mir! Geht wieder. Super.

Offline AllyG

  • Schreiberling
  • ****
  • Beiträge: 323
  • Geschlecht: Männlich
    • Teile Beitrag
    • Adrenalin-Fishing
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #27 am: 15. Januar 2017, 14:34:57 »
Hab die Dateien auf meine derzeitigen 1.06 SP4 hochgeladen und bekomme folgende Meldung:
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369
 Message was not sent

Offline allex

  • Neu im Forum
  • *
  • Beiträge: 6
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #28 am: 16. Januar 2017, 07:11:54 »
Hab den Fix aufgespielt (auf 1.06 SP4) und mal mit Passwort vergessen getestet. Eingestellt ist smtp Mailversand. Bekomme folgende Fehlermeldung:

Message was not sent

Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting


Vor dem Patch lief alles problemlos.

Offline oneQ

  • Schreiberling
  • ****
  • Beiträge: 344
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #29 am: 16. Januar 2017, 11:44:26 »
Zitat

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369


Mal als SMTP Server den XXX.kasserver.com probiert? Sieht man im KAS, wenn man auf die Settings von der E-Mail Adresse geht.


Teile per facebook Teile per linkedin Teile per twitter

 


             
anything