Sicherheitspatch für alle Shopversionen (security_fix_2015_10_06.zip)

[versand-richter]

@ HHGAG:  Es lag an den Rechten, jetzt ist wieder alles okay ... also vielen lieben Dank für den Tipp.   

Wobei ich es nicht verstehe, denn der "ältere Shop" läuft auch mit Chmod 755, aber egal ... ich bin immer wieder einfach nur froh, wenn alles fehlerfrei läuft.

[HHGAG]

kein Problem =)

[golferteddy]

Durch die Sicherheitslücke konnte die Datenbank manipuliert werden (SQL-Injection). Wir haben einen Hacker live dabei erwischt und haben sofort reagiert.

Frage: Ja aber .... Wie reagiert man in so einen Fall richtig. Ich muss ihn ja irgendwie blockieren aber wie ?

[HHGAG]

Solange kein eigener Server vorhanden ist kann man nur per

.htaccess

den jeweiligen per IP bannen.

[golferteddy]

Danke ....

aber geht das nicht auch ein bisschen genauer.
Erst einmal muss ich ja die IP ermitteln und
zweiten dann WAS in die .htaccess eintragen

[HHGAG]

Order Deny,Allow
Deny from 192.168.0.1

wobei die IP zu ersetzen gilt. Die IP wäre u.a. über das "Wer ist Online" ermittelbar, aber sowas wird ein Laie nur schwer erkennen können, deshalb sollte jede Sicherheitslücke schnellstmöglich geschlossen werden.

[pdfil12]

Ihr solltet die Security Patches in die aktuelle Version die man bei euch downloaden kann, einpflegen.
Alles andere ist zu fahrlässig. Und da es eh nur Dateiänderungen sind, sehe ich da auch keine Probleme. Damit kann der Hinweis:

Die folgenden Korrekturen sind in Shopversion 1.06 rev 4642 SP2 noch nicht enthalten und müssen nachträglich installiert werden:

entfallen. Wirkt sonst nicht so richtig professionell und kann auch schnell übersehen werden. Ist auch eine generelle frage, weshalb man als Hauptdownload eine angreifbare Version anbietet...

[webald]

Na ja, es gibt ja andere Programme, die machen das genauso: Windows, Office, Suse, ....

[pdfil12]

Diese Programme/Betriebsysteme haben Autoupdater, welches bei modified Commerce fehlt.
Ich wollte nur darauf hinweisen. Es wäre besser für alle und der Aufwand dafür ist gering.

[Gulliver72]

Mal als Laie eine Frage zum Code

Derzeit wird die Variable typisiert. Soweit okay.
Allerdings kann jetzt eine DB-Abfrage einen Fehler werfen. Nämlich, wenn die Variable nicht Integer ist.
Um auch das zu vermeiden , sollte meiner Meinung nach die Zeile 20 ergänzt werden.

Code: PHP  [Auswählen]

    if (xtc_not_null($countries_id) && is_int($countries_id)) {

Ist mein Gedanke soweit richtig? 

[webald]

Das steht doch schon da.

Code: PHP  [Auswählen]

function xtc_get_countriesList($countries_id = '', $with_iso_codes = false) {
        $countries_array = array();
        if (xtc_not_null($countries_id)) {....

[Gulliver72]

Wenn ich das richtig lese, eben nicht.
Was passiert, wenn $countries_id not_null und nicht Zahl ist ? Bedenke, warum gefixt wurde. 
So wie der Code jetzt ist, kommt ein Fehler sobald $countries_id not_null aber keine Zahl ist. Das Array bleibt leer.
Mit meiner Codeerweiterung schicke ich das Programm direkt in die else Bedingung ohne $countries_id.

Oder liege ich falsch?

[Jürgen H.]

Hallo Gulliver72,

mit deine Erweiterung liegst du falsch. "is_int" Funktion prüft nicht nur nach Zahl nach, sondern auch nach Datentype "integer", was in dem Fall ein String (z.B. "81") ignorieren wird. Wenn du nach Zahl abfragen möchtest, benutze lieber "is_numeric" (Nachteil davon ist aber: dies erlaubt dezimal Zahlen).

Gruß,
Jürgen H.

[Hetfield]

Die Variable $countries_id kann auch ein String sein, der erst in ein Integer umgewandelt werden muss.
Hier wird ein String an die Funktion übergeben:

Code: PHP  [Auswählen]

xtc_get_countriesList('81');

Hier wird ein Integer an die Funktion übergeben:

Code: PHP  [Auswählen]

xtc_get_countriesList(81);

Bei der ersten Variante wird deine Abfrage mit is_int() nicht mehr funktionieren. Der Patch macht ja auf jeden Fall einen Integer aus der übergebenen Variable.

MfG Hetfield 

[webald]

So wie der Code jetzt ist, kommt ein Fehler sobald $countries_id not_null aber keine Zahl ist.

Hast du das getestet?

Code: PHP  [Auswählen]

$id='a';
$result = (int)$id;
echo "result(".$id."): " . $result;

$result wird im Falle eines Wertes der kein Integer ist zu 0, also einer Integer-Zahl. Das Array bleibt leer, weil es keine coutries_id=0 gibt.

Lustig ist das Verhalten bei Dezimalwerten als Parameter.

Code: PHP  [Auswählen]

$id='2.5';
$result = (int)$id;
echo "result(".$id."): " . $result;

Das ergibt als $result 2, obwohl die Eingabe kein Integerwert ist.