Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)

[Tomcraft]

[...]
ich habe es auch so eingebaut in 1.06 SP3 und positiv getestet

Code: PHP  [Auswählen]

protected function smtpSend($header, $body)
    {
        include_once($this->PluginDir . 'class.smtp.php');
        $bad_rcpt = array();

[...]

Danke für den Hinweis! Ich habe das Fix-Paket entsprechend korrigiert. Der Fehler tritt nur bei Shops auf, die den E-Mail Versand per SMTP durchführen. Alle anderen E-Mail Transport-Methoden sind davon nicht betroffen gewesen!

[...]
Aber - wie ist es denn nun richtig? (Als Beispiel mein Shop 1.06SP4)

Laut Installationsanweisung soll der Inhalt des Ordners "shoproot-1." in das Hauptverzeichnis meines Shops hoch geladen werden.

Das Verzeichnis "language" in "shoproot\includes\classes" gibt es nicht. Die darin befindlichen Dateien phpmailer.lang-de.php und phpmailer.lang-en.php befinden sich in "shoproot\includes\classes" UND in "shoproot\admin\includes\classes".

Müssen die neuen Dateien in beide Verzeichnisse kopiert werden?
Oder muss jetzt in "shoproot\includes\classes" der Ordner "languages" angelegt werden und dafür die beiden Dateien aus der "classes-root" gelöscht werden?
[...]

Wenn man sich mal den Code der ursprünglichen Datei "/includes/classes/class.phpmailer.php" anschaut, dann wird man feststellen, dass die beiden zugehörigen Sprachdateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" nie geladen wurden und auf das Fallback der Definitionen innerhalb der "/includes/classes/class.phpmailer.php" zurück gegriffen wurde.
Die Sprachdateien gehören, so wie im Paket angelegt, in den Ordner "/includes/classes/language/".
Die beiden alten Dateien "/includes/classes/phpmailer.lang-de.php" und "/includes/classes/phpmailer.lang-en.php" können gelöscht werden, müssen aber nicht.

Grüße

Torsten

[Herr_Bert]

@ Schreinermeister
Das könnte sich ändern sobald der Shop versucht eine Mail an den Kunden zu senden, dann einfach den Tip von tombstone ausführen 

Herr_Bert

[Fakrae]

Seltsam - ich hab auch SMTP eingestellt und bei mir ging es ohne das include_once... Warum?^^

[fishnet]

Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?

An Shopbetreiber. Achtung: Nicht produktiv nutzen. Danke.

[awids]

Ist wahrscheinlich eine dumme Frage - aber ich gehe lieber auf Nummer sicher: Wurde der Fix bereits in den aktuellen Download-Paketen der Shopsoftware aktualisiert?

[Tomcraft]

Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Wäre es evtl sinnvoll, diesen Fix mit der TLS /SSL Funktion aus diesem alten Paket (Update PHPMailer verschlüsselter E-Mail Transport via SMTP (SSL/TLS)) zu versehen?
[...]

Nein, denn es geht dabei nur um einen Fix und nicht um eine Funktionserweiterung. Diese kommen durch Update des Shops.
Der Fix soll ohne jegliche PHP-Kenntnisse für jeden Shopbetreiber selber per FTP-Zugang schnell ausführbar sein. Bei deinem vorgeschlagenen Paket muss man dann wieder zusätzlich an Dateien ran und auch mit phpMyAdmin umgehen können.

Grüße

Torsten

[awids]

Nein wir aktualisieren keine einmal veröffentlichten Versionen mehr, sondern werden nächste Woche die neue Shopversion 2.0.2.0 veröffentlichen.

Dann war meine Frage ja doch nicht so doof, wie ich dachte.

Ich dachte, wir warten auf die 2.0.1.1?! Aber egal, ich bin begeistert, wie kurz eure aktuellen Entwicklungszeiten sind.  Wird wohl bald mal Zeit für eine Spende.

[wbalter]

Hallo und Danke für den Patch,

ein Problem ist mir dabei aufgefallen.

Wir haben in den E-Mail Optionen im Admin, in der Einstellung "Verrechnung - Weiterleitungsadresse" 2 E-Mail Adresse mit einem Komma getrennt eingetragen, weil wir Bestellungen immer an 2 verschiedene Adresse gesendet bekommen. Also so: bestellung@shop.de, handy@shop.de

Seit wir den Patch eingespielt haben, kommen die E-Mails nicht mehr bei handy@shop.de an, sondern nur noch bei bestellung@shop.de.

Wahrscheinlich war unsere bisherige Lösung eh nicht 100% wie gedacht, funktionierte aber schon zu xtc Zeiten gut

Liegt da ein Fehler im Fix vor oder ist das dann jetzt so?

Herzlichen Dank und Grüße

PS: Wir nutzen den PHP Mailer

[yodolf]

Kann ich bestätigen, es wird dann offenbar nur noch an die erste E-Mail-Adresse versendet bei "Verrechnung - Weiterleitungsadressen"
Bisher konnte an mehrere Adressen gemailt werden, mit Komma getrennt.
Das war offenbar auch "offiziell" so gedacht, sonst würde in den E-Mail-Einstellungen nicht Adressen im Plural da stehen und dahinter
"Geben Sie weitere Mailadressen ein, wohin die E-Mails des Verrechnungssystem noch versendet werden sollen (mit , getrennt)"

Das geht jetzt nach dem Sicherheitspatch nicht mehr. Nur noch eine E-Mail Adresse wird benutzt.
Wie kann das gefixt werden? Sonst kann die Funktionserklärung so nicht stehenbleiben.

EDIT: ich hab E-Mail Transport Methode: mail eingestellt

[web28]

inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]

  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:

Code: PHP  [Auswählen]

  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.

Gruss Web28

[yodolf]

Topp, danke Web28 !!! 

[wbalter]

Danke auch von mir! Geht wieder. Super.

[AllyG]

Hab die Dateien auf meine derzeitigen 1.06 SP4 hochgeladen und bekomme folgende Meldung:

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369
 Message was not sent

[allex]

Hab den Fix aufgespielt (auf 1.06 SP4) und mal mit Passwort vergessen getestet. Eingestellt ist smtp Mailversand. Bekomme folgende Fehlermeldung:

Message was not sent

Mailer Error: SMTP connect() failed. https://github.com/PHPMailer/PHPMailer/wiki/Troubleshooting

Vor dem Patch lief alles problemlos.

[Q]

Warning:  stream_socket_enable_crypto(): Peer certificate CN=`*.kasserver.com' did not match expected CN=`smtp.adrenalin-fishing.de' in /www/XXX/includes/classes/class.smtp.php on line 369

Mal als SMTP Server den XXX.kasserver.com probiert? Sieht man im KAS, wenn man auf die Settings von der E-Mail Adresse geht.