Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: BUGFIX: Sicherheitslücke in google_sitemap.php  (Gelesen 33072 mal)

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 43.519
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.modified-shop.org
BUGFIX: Sicherheitslücke in google_sitemap.php
« am: 09. August 2013, 12:56:10 »
Eine Sicherheitslücke betrifft die "google_sitemap.php", die im Stammverzeichnis (Root) eures Shops liegt. Wir empfehlen allen Shopbetreiben dringend die Datei auszutauschen.

Die Lücke wurde uns von Mario Braune von der total10 UG (haftungsbeschränkt) aus Hamburg gemeldet. Vielen Dank an dieser Stelle!

Das Fix-Paket bekommt ihr hier: Klick mich

Euer modified eCommerce Shopsoftware Team

Hinweis: Das Update Paket ist kompatibel zu ALLEN Versionen von 1.00 bis 1.06 rev 4642
Ab Version 1.06 rev 4642 SP1 ist der Fix bereits integriert!


BUGFIX für Downloads vor dem 13.06.2014:

Suche nach:

Code: PHP  [Auswählen]
        $string = sprintf(SITEMAP_ENTRY, xtc_href_link(FILENAME_DEFAULT, 'cPath='.$cat_data['categories_id'].$lang_param, 'NONSSL', false), iso8601_date($date));

Ersetze mit:

Code: PHP  [Auswählen]
        $catPath = xtc_get_category_path($cat_data['categories_id']);
        $string = sprintf(SITEMAP_ENTRY, xtc_href_link(FILENAME_DEFAULT, 'cPath='.$catPath.$lang_param, 'NONSSL', false), iso8601_date($date));

[EDIT web28 14.11.2013: Bugfix hinzugefügt.]
[EDIT Tomcraft 13.06.2014: Bugfix in Download übernommen.]
[EDIT Tomcraft 23.06.2014: Bugfix überarbeitet.]

Linkback: https://www.modified-shop.org/forum/index.php?topic=27236.0

Safeterms - Sichere Rechtstexte für Online Händler

Offline kgd

  • Experte
  • *****
  • Beiträge: 1.540
    • Teile Beitrag
    • https://www.karsta.de
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #1 am: 10. August 2013, 17:17:07 »
Kann man irgendwo nachlesen an welcher Stelle sich die Sicherheitslücke genau befand?

Offline cschiller

  • Fördermitglied
  • *****
  • Beiträge: 135
  • Geschlecht: Männlich
    • Teile Beitrag
    • ElchSCHILDER
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #2 am: 10. August 2013, 19:28:28 »
Vielen Dank für den Fix!  :thx:

Offline Buggyboy

  • Fördermitglied
  • *****
  • Beiträge: 916
  • Geschlecht: Männlich
    • Teile Beitrag
    • Spiel-Zeit-Shop
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #3 am: 11. August 2013, 11:39:36 »
Vielen Dank an alle... ;-}

Offline JZ_Aqua

  • Schreiberling
  • ****
  • Beiträge: 373
  • Geschlecht: Männlich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #4 am: 11. August 2013, 12:05:14 »
Hallo
Danke für das schnelle bereitstellen des Fix-Pakets.

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #5 am: 11. August 2013, 14:37:23 »
Hi, bei uns stimmt was nicht ...
Code: PHP  [Auswählen]
Fatal error: Class 'language' not found in /.../.../.../.../.../.../inc/shopstat_functions.inc.php on line 200

Dort steht:

Code: PHP  [Auswählen]
    if(sizeof($lang)>0)
        {
        $lng = new language;
        if( $lng->catalog_languages[$lang[1]]['id'] != $languages_id &&
            $link != "")
            {
            $link .= $separator.$lang[0];
            }
        }

    return($link);

 :crazy:

LG KAT

Offline Haustier-Laden

  • Mitglied
  • ***
  • Beiträge: 116
  • Geschlecht: Männlich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #6 am: 11. August 2013, 14:48:22 »
Vielen Dank für den Fix.

mit freundlichen Gruß
Rene

Offline h-h-h

  • modified Team
  • *****
  • Beiträge: 4.563
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #7 am: 11. August 2013, 14:58:19 »
Kann man irgendwo nachlesen an welcher Stelle sich die Sicherheitslücke genau befand?

Hallo zusammen,

suche in der google_sitemap.php:

Code: PHP  [Auswählen]
if (!isset($_SESSION['customer_id'])) {

und ersetze es mit:

Code: PHP  [Auswählen]
if (!isset($_SESSION['customer_id']) || ($_SESSION['customers_status']['customers_status_id'] != '0' && $_SESSION['customers_status']['customers_status'] != '0')) {

Damit seid Ihr auf der sicheren Seite, wenn die neue Datei nicht korrekt funktioniert oder die bisherige Datei stark angepasst ist.

Viele Grüße,
h-h-h

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #8 am: 11. August 2013, 15:14:08 »
Danke h-h-h !  :thumbs:

Offline MW

  • Fördermitglied
  • *****
  • Beiträge: 421
  • Geschlecht: Männlich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #9 am: 11. August 2013, 18:32:26 »
Zitat
...oder die bisherige Datei stark angepasst ist.

Darum ging es. Vielen Dank h-h-h  ;-)

Offline kgd

  • Experte
  • *****
  • Beiträge: 1.540
    • Teile Beitrag
    • https://www.karsta.de
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #10 am: 11. August 2013, 18:58:22 »
Danke h-h-h !

Hatte ich mir gedacht, wußte es aber nicht mit Sicherheit.
BG kgd

Offline MoHo

  • Fördermitglied
  • *****
  • Beiträge: 118
    • Teile Beitrag
    • Rollendes Atelier
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #11 am: 11. August 2013, 23:18:31 »
Danke für den Fix.

Die google_sitemap.php die hier zum Download steht ist aber doch sehr anders, als die, die bei der Version 1.06 rev 4642 dabei war.

Ich habe jetzt auch festgestellt, dass in der alten Version die Einträge doppelt erscheinen. In dieser hier werden aber auch die anderen Sprachen exportiert, auch wenn diese nicht aktiviert sind.

Wie müsste man das sauber implementieren, das nur aktive Sprachen in der Sitemap erscheinen?

Update:
OK, habe es gefunden, habe jetzt ein
Code: PHP  [Auswählen]
AND l.status = 1
bei categories, products und manufactures eingefügt, wie hier bereits beschrieben:
http://www.modified-shop.org/forum/index.php?topic=6213.msg70148#msg70148

Offline paco43

  • Mitglied
  • ***
  • Beiträge: 176
  • Geschlecht: Männlich
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #12 am: 12. August 2013, 01:14:26 »
Hallo,

ich bekommen jetzt nach dem Austausch der Google_sitemap.php folgenden Fehlermeldung wenn ich im Admin Backend auf "Google Sitemap" gehe: 
ERROR
Bitte folgende Datei erstellen: sitemap1.xml

Wie kann das sein?
Kann mir da jemand helfen.

Gruß Paco

Offline MoHo

  • Fördermitglied
  • *****
  • Beiträge: 118
    • Teile Beitrag
    • Rollendes Atelier
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #13 am: 12. August 2013, 01:19:20 »
Hallo Paco,

ich gehe davon aus, dass deine sitemap vorher genau wie bei mir, sitemap.xml hieß. Jetzt will er eine sitemap1.xml anlegen, die er aber nicht schreiben darf. Daher musst du eine Datei mit schreibrechten haben. Nenne die alte Datei einfach um.

Offline Thomas

  • Fördermitglied
  • *****
  • Beiträge: 1.581
    • Teile Beitrag
Re: BUGFIX: Sicherheitslücke in google_sitemap.php
« Antwort #14 am: 12. August 2013, 08:21:10 »
Hab das selbe Problem, was soll man umbenennen? Versteh ich nicht.


Teile per facebook Teile per linkedin Teile per twitter

 


             
anything