Werbung / Banner buchen
Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)  (Gelesen 30958 mal)

Offline versand-richter

  • Frisch an Board
  • **
  • Beiträge: 65
  • Geschlecht: Weiblich
    • Teile Beitrag
    • Versand-Richter
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #30 am: 08. Oktober 2015, 13:28:40 »
@ HHGAG:  Es lag an den Rechten, jetzt ist wieder alles okay ... also vielen lieben Dank für den Tipp.    :thx:

Wobei ich es nicht verstehe, denn der "ältere Shop" läuft auch mit Chmod 755, aber egal ... ich bin immer wieder einfach nur froh, wenn alles fehlerfrei läuft.

Offline HHGAG

  • Frisch an Board
  • **
  • Beiträge: 53
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #31 am: 08. Oktober 2015, 13:55:21 »
kein Problem =)

Offline golferteddy

  • Schreiberling
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
    • Teile Beitrag
    • Teddy-Fabrik - Der offizielle eshop der HERMANN-Spielwaren GmbH
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #32 am: 08. Oktober 2015, 14:13:33 »
Durch die Sicherheitslücke konnte die Datenbank manipuliert werden (SQL-Injection). Wir haben einen Hacker live dabei erwischt und haben sofort reagiert.

Frage: Ja aber .... Wie reagiert man in so einen Fall richtig. Ich muss ihn ja irgendwie blockieren aber wie ?

Offline HHGAG

  • Frisch an Board
  • **
  • Beiträge: 53
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #33 am: 08. Oktober 2015, 15:05:26 »
Solange kein eigener Server vorhanden ist kann man nur per
Zitat
.htaccess
den jeweiligen per IP bannen.

Offline golferteddy

  • Schreiberling
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
    • Teile Beitrag
    • Teddy-Fabrik - Der offizielle eshop der HERMANN-Spielwaren GmbH
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #34 am: 08. Oktober 2015, 15:16:29 »
Danke ....

aber geht das nicht auch ein bisschen genauer.
Erst einmal muss ich ja die IP ermitteln und
zweiten dann WAS in die .htaccess eintragen

Offline HHGAG

  • Frisch an Board
  • **
  • Beiträge: 53
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #35 am: 08. Oktober 2015, 15:23:06 »
Zitat von: .htaccess
Order Deny,Allow
Deny from 192.168.0.1
wobei die IP zu ersetzen gilt. Die IP wäre u.a. über das "Wer ist Online" ermittelbar, aber sowas wird ein Laie nur schwer erkennen können, deshalb sollte jede Sicherheitslücke schnellstmöglich geschlossen werden.

Offline pdfil12

  • Neu im Forum
  • *
  • Beiträge: 7
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #36 am: 12. Oktober 2015, 08:53:10 »
Ihr solltet die Security Patches in die aktuelle Version die man bei euch downloaden kann, einpflegen.
Alles andere ist zu fahrlässig. Und da es eh nur Dateiänderungen sind, sehe ich da auch keine Probleme. Damit kann der Hinweis:
Zitat
Die folgenden Korrekturen sind in Shopversion 1.06 rev 4642 SP2 noch nicht enthalten und müssen nachträglich installiert werden:
entfallen. Wirkt sonst nicht so richtig professionell und kann auch schnell übersehen werden. Ist auch eine generelle frage, weshalb man als Hauptdownload eine angreifbare Version anbietet...

Offline webald

  • modified Team
  • *****
  • Beiträge: 2.712
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #37 am: 12. Oktober 2015, 09:04:54 »
Na ja, es gibt ja andere Programme, die machen das genauso: Windows, Office, Suse, ....

Offline pdfil12

  • Neu im Forum
  • *
  • Beiträge: 7
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #38 am: 12. Oktober 2015, 09:12:22 »
Diese Programme/Betriebsysteme haben Autoupdater, welches bei modified Commerce fehlt.
Ich wollte nur darauf hinweisen. Es wäre besser für alle und der Aufwand dafür ist gering. :-)

Offline Gulliver72

  • Mitglied
  • ***
  • Beiträge: 100
  • Geschlecht: Männlich
    • Teile Beitrag
    • archäologische Studien an einer alten Shopsoftware
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #39 am: 13. Oktober 2015, 14:28:51 »
Mal als Laie eine Frage zum Code

Derzeit wird die Variable typisiert. Soweit okay.
Allerdings kann jetzt eine DB-Abfrage einen Fehler werfen. Nämlich, wenn die Variable nicht Integer ist.
Um auch das zu vermeiden , sollte meiner Meinung nach die Zeile 20 ergänzt werden.

Code: PHP  [Auswählen]
    if (xtc_not_null($countries_id) && is_int($countries_id)) {

Ist mein Gedanke soweit richtig?  :-?

Offline webald

  • modified Team
  • *****
  • Beiträge: 2.712
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #40 am: 13. Oktober 2015, 14:45:56 »
Das steht doch schon da.
Code: PHP  [Auswählen]
function xtc_get_countriesList($countries_id = '', $with_iso_codes = false) {
        $countries_array = array();
        if (xtc_not_null($countries_id)) {....

Offline Gulliver72

  • Mitglied
  • ***
  • Beiträge: 100
  • Geschlecht: Männlich
    • Teile Beitrag
    • archäologische Studien an einer alten Shopsoftware
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #41 am: 13. Oktober 2015, 15:39:01 »
Wenn ich das richtig lese, eben nicht.
Was passiert, wenn $countries_id not_null und nicht Zahl ist ? Bedenke, warum gefixt wurde.  ;-)
So wie der Code jetzt ist, kommt ein Fehler sobald $countries_id not_null aber keine Zahl ist. Das Array bleibt leer.
Mit meiner Codeerweiterung schicke ich das Programm direkt in die else Bedingung ohne $countries_id.

Oder liege ich falsch?

Offline Jürgen H.

  • Neu im Forum
  • *
  • Beiträge: 15
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #42 am: 13. Oktober 2015, 16:42:00 »
Hallo Gulliver72,

mit deine Erweiterung liegst du falsch. "is_int" Funktion prüft nicht nur nach Zahl nach, sondern auch nach Datentype "integer", was in dem Fall ein String (z.B. "81") ignorieren wird. Wenn du nach Zahl abfragen möchtest, benutze lieber "is_numeric" (Nachteil davon ist aber: dies erlaubt dezimal Zahlen).

Gruß,
Jürgen H.

Offline Hetfield

  • modified Team
  • *****
  • Beiträge: 738
    • Teile Beitrag
    • MerZ IT-SerVice - Internetsolutions for eCommerce and eBusiness
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #43 am: 13. Oktober 2015, 16:42:22 »
Die Variable $countries_id kann auch ein String sein, der erst in ein Integer umgewandelt werden muss.
Hier wird ein String an die Funktion übergeben:

Code: PHP  [Auswählen]
xtc_get_countriesList('81');

Hier wird ein Integer an die Funktion übergeben:

Code: PHP  [Auswählen]
xtc_get_countriesList(81);

Bei der ersten Variante wird deine Abfrage mit is_int() nicht mehr funktionieren. Der Patch macht ja auf jeden Fall einen Integer aus der übergebenen Variable.

MfG Hetfield  8)

Offline webald

  • modified Team
  • *****
  • Beiträge: 2.712
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)
« Antwort #44 am: 13. Oktober 2015, 16:43:22 »
So wie der Code jetzt ist, kommt ein Fehler sobald $countries_id not_null aber keine Zahl ist.

Hast du das getestet?

Code: PHP  [Auswählen]
$id='a';
$result = (int)$id;
echo "result(".$id."): " . $result;

$result wird im Falle eines Wertes der kein Integer ist zu 0, also einer Integer-Zahl. Das Array bleibt leer, weil es keine coutries_id=0 gibt.

Lustig ist das Verhalten bei Dezimalwerten als Parameter.

Code: PHP  [Auswählen]
$id='2.5';
$result = (int)$id;
echo "result(".$id."): " . $result;

Das ergibt als $result 2, obwohl die Eingabe kein Integerwert ist.

Werbung / Banner buchen

Teile per facebook Teile per linkedin Teile per twitter

 


             
anything