Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: BUGFIX: Sicherheitslücke in google_sitemap.php

    krumm

    • Neu im Forum
    • Beiträge: 27
    • Geschlecht:
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #60 am: 31. Dezember 2015, 16:37:18
    Hallo zusammen,

    ich habe auch versucht die alte Datei zu aktualisieren, mit dem Ergebnis dass jetzt wenn ich versuche die sitemap.xml zu erstellen (übers backend) nur eine weiße Seite erscheint und sonst nichts (keine Fehlermeldung, etc).

    Die xml ist auf 777 gesetzt, ich habe es ein paar mal versucht, (auch die suchmaschinenfreundlichen URLs ausgeschaltet), bin aber zu keinem Ergebnis gekommen wo das Problem liegen könnte.

    Diese Version: modified eCommerce Shopsoftware v1.05 dated: 2010-07-18

    Hatte das auch schon jemand, bzw. weiß jemand Rat?

    Vielen Dank.

    Guenter59

    • Viel Schreiber
    • Beiträge: 1.485
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #61 am: 31. Dezember 2015, 16:55:58
    Hi krumm
    Als erste Maßnahme solltest Du das error_reporting einschalten, dann gibt php Fehlermeldungen aus ( wenn es ein php Fehler ist )
    Mit sehr hoher Wahrscheinlichkeit hast Du beim Einbau einen Fehler gemacht

    error_reporting einschalten
    Einfach im Ordner export eine leere datei mit dem Namen error_reporting.all anlegen.

    GMS

    krumm

    • Neu im Forum
    • Beiträge: 27
    • Geschlecht:
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #62 am: 02. Januar 2016, 00:08:41
    Hallo Guenter59,

    habe ich gerade versucht, allerdings scheint es das nicht zu sein. Die error_reporting.all bleibt komplett leer.

    Hast du noch eine Idee wo das Problem liegen könnte?

    Guenter59

    • Viel Schreiber
    • Beiträge: 1.485
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #63 am: 02. Januar 2016, 07:23:05
    Hi krumm
    In die Datei wird auch nicht geschrieben. Die Fehlermeldungen werden dann am Bilschirm ausgegeben.

    In den Log-Dateien ( errorlog oder ähnliches)des Servers kannst Du auch noch gucken.
    Wenn Du deinen Hoster angibst ( Da wo Du deinen Seiten liegen hast ( Strato, 1&1 oder so ), dann kann Dir auch bestimmt jemand erklären, wo Du diese Errog_log findest

    Der Fehler " weiße Seite " ist der Standardfehler.

    Sonst muß man sich die von Dir geänderten Dateien mal angucken.

    hast Du die Datei denn komplett ausgetauscht, oder die Alte geändert?

    GMS

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 13.707
    • Geschlecht:
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #64 am: 02. Januar 2016, 23:29:19
    Ich darf mal die Shopversion zitieren:
    Zitat von: krumm
    Diese Version: modified eCommerce Shopsoftware v1.05 dated: 2010-07-18
    Da wäre die Frage angebracht um welche 1.05 es sich genau handelt. Soweit ich weiß gibt es die Error-Reporting-Schaltfunktion mit den Dummy-Dateien im Ordner /export/ erst seit SP1c der 1.05.

    Wenn es im Browser keine Fehlermeldung gibt ist das auf dem Server evtl. deaktiviert. In diesem Falle sollte es jedoch ein error log auf dem Server geben. Am Besten deinen Hoster fragen, krumm.

    Gruß,
    noRiddle

    krumm

    • Neu im Forum
    • Beiträge: 27
    • Geschlecht:
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #65 am: 03. Januar 2016, 01:00:20
    So, habe mir das jetzt nochmal genauer angeschaut. Es gibt tatsächlich ein errorlog auf dem Server.

    Das gibt folgende Meldung aus.

    [Sun Jan 03 00:31:23 2016] [warn] [client 91.47.156.205] mod_fcgid: stderr: PHP Fatal error: Call to undefined function encode_htmlentities() in .../httpdocs/grillrost/google_sitemap.php on line 327

    In der sitemap.php betrifft der Fehler also diesen Bereich. Da komme ich trotz langem probieren nun leider wieder nicht mehr weiter...

    Code: PHP  [Auswählen]
    // function made by Mathis Klooss (www.gunah.eu)
    function sitemap_curl( $notify_url , $mixed=array() ) {
        $result = '';
        $allow_url_fopen = ini_get("allow_url_fopen");
        foreach ($mixed as $value) {
            if($allow_url_fopen == 0 || function_exists('curl_exec') == true) {
                ob_start();
                $ch = curl_init();
                curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, MAX_TIMEOUT);
                curl_setopt($ch, CURLOPT_URL, $value . urlencode($notify_url));
                $user_agent = 'Mozilla/4.0 (compatible; xtc; sitemap-submitter) xt:commerce sitemap-submitter';
                curl_setopt ( $ch , CURLOPT_USERAGENT, $user_agent);
                $test = curl_exec($ch);
                curl_close($ch);
                $ob_get_contents = ob_get_contents();
                ob_end_clean();
                $out = sitemap_replace($ob_get_contents);
                $result[] = '<div>'.$value.encode_htmlentities($notify_url).'</div>'.$out;              //327
            } elseif($allow_url_fopen == 1) {
                $fs = fopen($value.urlencode($notify_url), 'r');
                stream_set_timeout($fs, MAX_TIMEOUT);
                $response = file_get_contents($value . urlencode($notify_url));
                $result[] = '<div>'.$value.encode_htmlentities($notify_url).'</div>'.sitemap_replace($response);
            }
        }
        return $result;
    }

    Ich hab die Datei übrigens komplett ausgetauscht, an der Alten war noch nichts geändert

    Grüße,
    krumm

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 13.707
    • Geschlecht:
    Re: BUGFIX: Sicherheitslücke in google_sitemap.php
    Antwort #66 am: 03. Januar 2016, 11:26:55
    Die Funktion encode_htmlentities() gibt es erst seit der Version 1.06.
    Vielleicht solltest du die Original-Datei aus deiner Version nochmal hochladen und dann den Security-Fix per Hand einbauen.

    Gruß,
    noRiddle
    16 Antworten
    14759 Aufrufe
    17. Dezember 2014, 18:21:58 von h-h-h
    6 Antworten
    4499 Aufrufe
    19. April 2009, 13:15:31 von bencore
    19 Antworten
    9855 Aufrufe
    10. Juni 2011, 06:44:36 von Alfred