Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)  (Gelesen 30957 mal)

Offline BiDoubleU

  • Fördermitglied
  • *****
  • Beiträge: 294
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #15 am: 07. Oktober 2015, 16:01:53 »
Einfach  :thx:

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 9.989
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #16 am: 07. Oktober 2015, 16:08:39 »
Interessant was so alles noch auftaucht wo nie einer bewußt reingeschaut hat...

Merci.

Gruß,
noRiddle

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 190
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #17 am: 07. Oktober 2015, 17:38:24 »
:thx:

Offline pq

  • Mitglied
  • ***
  • Beiträge: 125
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #18 am: 07. Oktober 2015, 17:48:09 »
Zitat
Interessant was so alles noch auftaucht wo nie einer bewußt reingeschaut hat...

Ich hab mich schon oft gefragt, ob es da kein Tool gibt, das die Sourcen eines Projektes nach Schwachstellen scannen kann.

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 43.635
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.modified-shop.org
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #19 am: 07. Oktober 2015, 19:51:33 »
[...]
Warum wird die Rev.-Nr. in der Datei nicht mehr gepflegt?
[...]

Lange Geschichte, aber es wird wieder gepflegt werden! :!:

Grüße

Torsten

Offline ReiniB

  • Fördermitglied
  • *****
  • Beiträge: 5
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #20 am: 07. Oktober 2015, 23:58:03 »
Vielen Dank!

Offline golferteddy

  • Schreiberling
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
    • Teile Beitrag
    • Teddy-Fabrik - Der offizielle eshop der HERMANN-Spielwaren GmbH
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #21 am: 08. Oktober 2015, 08:13:01 »
Frage:
Welcher Art war die Sicherheitslücke die mit dem FIX geschlossen wurde ?
Was hätte passieren könnnen ?

Danke

Gruss

Offline Hetfield

  • modified Team
  • *****
  • Beiträge: 738
    • Teile Beitrag
    • MerZ IT-SerVice - Internetsolutions for eCommerce and eBusiness
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #22 am: 08. Oktober 2015, 09:06:23 »
Durch die Sicherheitslücke konnte die Datenbank manipuliert werden (SQL-Injection). Wir haben einen Hacker live dabei erwischt und haben sofort reagiert. Eine Anleitung, wo und wie diese SQL-Injection möglich ist, wird es hier allerdings nicht geben, da ja noch sehr viele Shops ohne Patch im Netz sind.

MfG Hetfield  8)

Offline golferteddy

  • Schreiberling
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
    • Teile Beitrag
    • Teddy-Fabrik - Der offizielle eshop der HERMANN-Spielwaren GmbH
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #23 am: 08. Oktober 2015, 09:08:24 »
Danke

Offline versand-richter

  • Frisch an Board
  • **
  • Beiträge: 65
  • Geschlecht: Weiblich
    • Teile Beitrag
    • Versand-Richter
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #24 am: 08. Oktober 2015, 09:35:41 »
Vielen Dank auch von mir.  :-)

Wir haben zwei Shops, in beiden wurde die Datei eingefügt. Der "ältere" Shop läuft damit ganz normal.

Beim Shop mit der Version  v1.06 rev 4642 SP2 kommt jetzt, wenn man ein neues Kundenkonto anlegen will oder etwas in den Warenkorb legen will, immer nur eine weiße Seite ?

Offline HHGAG

  • Frisch an Board
  • **
  • Beiträge: 53
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #25 am: 08. Oktober 2015, 09:51:22 »
Überprüfe die Dateirechte.

Offline ChristianRothe

  • Mitglied
  • ***
  • Beiträge: 125
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #26 am: 08. Oktober 2015, 10:26:26 »
Vielleicht sollte man statt derartige Sicherheits-Patches tröpfchenweise zu veröffentlichen, einfach mal konsequent den gesamten Programmcode durchforsten und jedes SQL-Statement darauf abklopfen, ob Parameter ohne "Sanitizing" in die SQL-Queries einfließen. Wenn einfach konsequent immer und überall "xtc_db_input()" verwendet wird, dann ist das Risiko von SQL-Injections eigentlich komplett gebannt.

Offline versand-richter

  • Frisch an Board
  • **
  • Beiträge: 65
  • Geschlecht: Weiblich
    • Teile Beitrag
    • Versand-Richter
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #27 am: 08. Oktober 2015, 11:02:12 »
@ HHGAG: Wie sollten denn die Dateirechte sein ? Schreiben , Lesen ?

Habe in den "älteren " Shop geschaut, wo alles ohne Probleme läuft, dort sind die Rechte bei dieser Datei: Chmod 755 und so auch in dem anderen Shop, wo jetzt die weißen Seiten angezeigt werden

Offline p3e

  • Experte
  • *****
  • Beiträge: 2.045
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #28 am: 08. Oktober 2015, 11:39:22 »
Sind beide xtc_get_countries.inc.php wirklich identisch?
Sonst vergleiche mal aus beiden Shops die ursprünglichen xtc_get_countries.inc.php (Back-up) mit einem Programm wie WinMerge. Eventuell ist der eine Shop doch älter.

Offline HHGAG

  • Frisch an Board
  • **
  • Beiträge: 53
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #29 am: 08. Oktober 2015, 12:24:54 »
Setze die Rechte auf 644 (bei hohen Rechten verweigern einige Server übrigens auch den Dienst ^^) wenn das nicht reicht, müsstest Du die Fehlermeldungen aktivieren, sprich:
eine leere Datei Namens:
Zitat
_error_reporting.shop
im Verzeichnis:
Zitat
export/
Wenn Du den Fehler reproduziert hast, kannst Du die Datei löschen und den Fehler hier her posten.


Teile per facebook Teile per linkedin Teile per twitter

 


             
anything