Thema: Sicherheitspatch für Shopversionen ab 1.05 SP1b (security_fix_2015_12_01.zip)

Tomcraft · **am:** 01. Dezember 2015, 16:12:29

Liebe Community,

wir haben eine Sicherheitslücke gefunden, die alle veröffentlichten Versionen ab und inklusive der Shopversion 1.05 SP1b betrifft.

Es ist jedem zu raten diese mittels angehängtem Patch zu schliessen.

Es muss nur eine Datei ausgetauscht werden.

Download des Fixes: Klick mich

Wir wünschen euch weiterhin gute Geschäfte und viel Spaß mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

[EDIT Tomcraft 04.12.2015: Bedanken könnt ihr euch hier: Danke Thread für "Sicherheitspatch für Shopversionen ab 1.05 SP1b (security.."]

Linkback: https://www.modified-shop.org/forum/index.php?topic=33996.0

Bonsai · **Antwort #1 am:** 01. Dezember 2015, 17:55:14

Marcus Kreusch · **Antwort #2 am:** 01. Dezember 2015, 18:08:09

Danke dafür!

Nur eine kurze Frage noch dazu: Wäre es nicht sinnvoll, den Zugriff auf das Skript noch anderweitig einzuschränken? Oder zumindest die Dateinamen von Datenbankbackups kryptischer zu gestalten?

Momentan wäre es ja ein Kinderspiel bei Kenntnis des DB-Namen eine Art "Brute-Force-Restore" zu machen und ein beliebiges altes Backup wieder einzuspielen - ist dann zwar nicht wahnsinnig sicherheitskritisch aber mindestens sehr ärgerlich für den Shopbetreiber.

Was meint ihr?

Viele Grüße
Marcus

Bonsai · **Antwort #3 am:** 01. Dezember 2015, 18:19:32

.htaccess in /admin, entweder passwortsichern oder IP basierte Sperre. Und Ruhe ist

MarcoMG · **Antwort #4 am:** 01. Dezember 2015, 19:22:32

Bonner · **Antwort #5 am:** 01. Dezember 2015, 20:35:23

auch von mir

an das Team!

Bonner

Gulliver72 · **Antwort #6 am:** 01. Dezember 2015, 20:58:04

Auch von mir ein

Q · **Antwort #7 am:** 01. Dezember 2015, 21:19:37

ralph_84 · **Antwort #8 am:** 01. Dezember 2015, 21:36:15

Auch von mir Danke

Morgenstund · **Antwort #9 am:** 02. Dezember 2015, 10:36:06

Ragai · **Antwort #10 am:** 02. Dezember 2015, 11:07:44

Ich danke auch dafür.

WayneTsun · **Antwort #11 am:** 02. Dezember 2015, 11:18:53

Danke aus dem Süden!

Beste Grüße,
Wayne

Thomas · **Antwort #12 am:** 02. Dezember 2015, 14:08:41

Auch von mir einen herzlichen Dank!

Beste Grüße

voodoopupp · **Antwort #13 am:** 02. Dezember 2015, 14:26:12

Merci auch von mir

onlineorange · **Antwort #14 am:** 03. Dezember 2015, 08:44:30

Hallo,

auch von uns ein großes

Lieben Gruß

Andreas

hendrik · **Antwort #15 am:** 03. Dezember 2015, 09:26:14

Die vielen "Danke" ist ja sehr lieb. Aber hier entsteht ein Thread von 12 Seiten "Danke, Danke". Wärs nicht prakitscher das in einen anderen Thread auszulagern und hier Beiträge abzulegen die sich mit dem Sicherheitspatch befassen?

gruß
hen

Bonsai · **Antwort #16 am:** 03. Dezember 2015, 09:32:59

@hendrik: Ich sehe das genau gegenteilig. Durch die vielen Danke wird der Thread immer wieder an den Anfang gepusht und erreicht somit auch die, die nicht jeden Tag ins Forum sehen.

noRiddle (revilonetz) · **Antwort #17 am:** 03. Dezember 2015, 17:54:55

Ins Forum braucht man auch nicht jeden Tag zu sehen weil es im Backend auf der Startseite im Feed erscheint und den sollte man aus Eigeninteresse eigtl. verfolgen.
In der Realität hast du allerdings wahrscheinlich Recht.

Gruß,
noRiddle

Bonsai · **Antwort #18 am:** 03. Dezember 2015, 18:35:13

Ich sehe mein Backend manchmal tagelang nicht

Nur wenn ich Artikel importiere die ich nach dem Import nochmal ändern muss, weil ich bestimmte Daten wie Erscheinungsdatum noch nicht in meiner Routine drin habe ...

Ich kann mir vorstellen, dass einige mit z.B. JTL Wawi ihr Backend seltener als 1 mal im Monat sehen ...

web0null · **Antwort #19 am:** 03. Dezember 2015, 18:58:39

Is ja jetzt kein Problem mehr, jetzt gibt es eh 2 Threads zum "auffallen"

Gruß

h-h-h · **Antwort #20 am:** 03. Dezember 2015, 21:01:38

Zitat von: hendrik am 03. Dezember 2015, 09:26:14

Die vielen "Danke" ist ja sehr lieb. Aber hier entsteht ein Thread von 12 Seiten "Danke, Danke". Wärs nicht prakitscher das in einen anderen Thread auszulagern und hier Beiträge abzulegen die sich mit dem Sicherheitspatch befassen?

Oder eine Erweiterung für das SMF Forum, mit der man sich für einzelne Beiträge bedanken kann.
Damit könnte man auch in langen Threads einzelne wichtige Beiträge direkt erkennen.

Viele Grüße,
h-h-h

piru · **Antwort #21 am:** 07. Dezember 2015, 10:18:33

Hallo,

sollte den Beitrag auch gepinnt werden? (heißt das so?), wie alle andere Sicherheitspatchs...

Gruß piru

Tomcraft · **Antwort #22 am:** 07. Dezember 2015, 10:32:15

Jupp, guter Hinweis.

Grüße

Torsten

Emma2011 · **Antwort #23 am:** 08. Dezember 2015, 20:28:45

Hallo,

ist hier nur 1.05 xxx betroffen, oder auch 1.06 xxx ?
Geht für mich leider nicht ganz klar aus dem Eintrag hervor...

Danke für eine kurze Info.

LG
Emma

Modulfux · **Antwort #24 am:** 08. Dezember 2015, 21:21:18

Zitat

Sicherheitspatch für Shopversionen ab 1.05 SP1b

Sollte selbsterklärend sein, oder?

Gruß
Ronny

Emma2011 · **Antwort #25 am:** 08. Dezember 2015, 21:25:05

Wenn das so klar wäre hätte ich nicht gefragt ! 😄
Aber ich denke ich kenne jetzt die Antwort....

voodoopupp · **Antwort #26 am:** 09. Dezember 2015, 18:04:57

Ja, für alle Versionen neuer / gleich 1.05 SP1b