Sicherheitsupdate SEO-URLs
Wie von der xt:Commerce GmbH veröffenlicht, wurden in den suchmaschinenfreundlichen URLs bei eingeschalteten Magic_Quotes eine Sicherheitslücke vom Risikofaktor hoch gefunden.
Betroffen sind nur die xtc-hauseigenen SEO URLs mit PATH_INFO. Nachfolgendes Patch behebt diese Sicherheitslücke.
Für alle 3.0.4 Sp2.1 Versionen vor dem 20.11.2008. Downloadarchiv entpacken und die enthaltenen Dateien im Shop ersetzen.
Download: Patch 304sp21 seo magic quotes.zip
Quelle und Updates: http://www.xtc-load.de/2008/11/security-patch-fur-304-sp21-seo-urls/
Sicherheitsupdate für XT Commerce 3.0.4 SP2.1, 20. November 2008, 16:13[Bearbeiten]
Quelle: http://bitfuck.net/2008/11/20/sicherheitsupdate-fur-xt-commerce-304-sp21/
Es gibt eine Lücke in der aktuellen XT Commerce Installation (und vermutlich auch in allen nennenswerten davor):
Sicherheitsupdate für Shopversion 3.0.4 SP2.1 vor dem 20.11.2008.
Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)
Für alle die jetzt um Ihre angepassten Dateien fürchten: Die Änderungen halten sich äußerst in Grenzen und sollten ganz leicht händisch einzuarbeiten sein.
Datei includes/modules/metatags.php (~ Zeile 86): Ersetze
WHERE content_group=’” . (int)$_GET['coID'] . “‘ and
durch
WHERE content_group=’” . (int)$_GET['coID'] . “‘ and
Datei includes/application_top.php
~ Zeile 213 Suche nach
$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);
folgende Zeile darunter setzen:
if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
~ Zeile 221 Suche nach
$_GET[$key] = htmlspecialchars($value);
Folgende Zeile darunter setzen:
if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
Ich habe auch Patches mit Winmerge (anhand der Standarddateien) erstellt. Der für metags.php befindet sich hier: metatags, der für application_top.php hier: application_top