Haendlerbund_Leistungen_728x90_animiert
Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für Shopversionen ab 1.06 SP2 (security_fix_2017_05_08.zip)  (Gelesen 7441 mal)

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 43.635
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.modified-shop.org
Liebe Community,

wir haben eine Sicherheitslücke gefunden, die alle veröffentlichten Versionen ab und inklusive der Shopversion 1.06 rev 4642 SP2 betrifft.

Es ist jedem zu raten diese mittels angehängtem Patch zu schliessen.

Es müssen lediglich zwei Dateien ausgetauscht werden.

Download des Fixes: Klick mich

Gemeldet wurde uns die Lücke von "ADLab of VenusTech".

Wir wünschen euch weiterhin gute Geschäfte und viel Spaß mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

Linkback: https://www.modified-shop.org/forum/index.php?topic=37185.0

Offline Fakrae

  • Viel Schreiber
  • *****
  • Beiträge: 997
    • Teile Beitrag
    • Futterkrämerei
Und schon wieder ist die Lücke im Modul eines Affiliatepartners... Kann man die nicht grundsätzlich optional machen? :-)

Danke auf jeden Fall für den Fix!

Offline FräuleinGarn

  • Viel Schreiber
  • *****
  • Beiträge: 2.909
    • Teile Beitrag

Offline thomas57

  • Fördermitglied
  • *****
  • Beiträge: 230
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://dartshophannover.de

Offline ELF-K11

  • Neu im Forum
  • *
  • Beiträge: 27
  • Geschlecht: Männlich
    • Teile Beitrag
Merci !

Offline woodpecker

  • Fördermitglied
  • *****
  • Beiträge: 44
  • Geschlecht: Männlich
    • Teile Beitrag
Vielen Dank :thx:

Offline Thomas

  • Fördermitglied
  • *****
  • Beiträge: 1.582
    • Teile Beitrag

Offline schwarzwaldmetzgerei

  • Fördermitglied
  • *****
  • Beiträge: 29
    • Teile Beitrag
    • http://www.schwarzwaldmetzgerei.com

Offline Nordseekrabbe

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
Dankeschön!

Offline gerdvomabbruch

  • Frisch an Board
  • **
  • Beiträge: 71
    • Teile Beitrag
heisst also betrifft mich nicht?  v1.06 rev 4356

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
:thx:

heisst also betrifft mich nicht?  v1.06 rev 4356

Es geht hier um die Schnittstelle der IT Recht Kanzlei. Diese sollte in deiner Shopversion noch nicht vorhanden sein, es sei denn du hast sie nachträglich einbauen lassen.

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Offline parrotsnature

  • Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
    • Teile Beitrag
    • Parrots Nature - Onlineshop für Papageien, Sittiche und Co.
Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Das würde mich auch interessieren, denn wir nutzen das Modul nicht und werden es sicherlich auch nie tun.

Offline voodoopupp

  • Fördermitglied
  • *****
  • Beiträge: 1.372
    • Teile Beitrag
Naja, da es nur zwei Dateien hochzuladen sind, kann man es doch getrost machen ohne erstmal abzuklären, ob es notwendig ist.

Da kostet die Frage im Forum stellen mehr Zeit, als die Dateien auszutauschen ;)

Online awids

  • Experte
  • *****
  • Beiträge: 2.484
  • Geschlecht: Männlich
    • Teile Beitrag
    • awids Onlineshop
Die Frage ist für Dienstleister wie fishnet, mich u. a. sehr wichtig, da wir eine ganze Menge Shops betreuen müssen und daher die Notwendigkeit ein wichtiger Faktor ist.

Am Beispiel fishnet: Wenn er von seinen über 350 bekannten Händlern (Angabe aus dem aktuellen Google-Rezensionen-Thread übernommen) nur die Hälfte betreut, muss er den Patch in 175 Shops einspielen. Da schätzt man Aufwand und Notwendigkeit schon gerne ein. ;)

Offline voodoopupp

  • Fördermitglied
  • *****
  • Beiträge: 1.372
    • Teile Beitrag
Okay, da magst du recht haben. An solche Art von Betreuung habe ich nicht gedacht. Dachte eher, dass ein Händler zwei Dateien selber austauschen kann ;)

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Das machen die aber nicht. Die rufen mich an und fragen ob es auch für sie notwendig ist  :-D

Offline voodoopupp

  • Fördermitglied
  • *****
  • Beiträge: 1.372
    • Teile Beitrag
Na solche Kunden möchte ich nicht haben :)

Offline Chopper-Fahrer

  • Mitglied
  • ***
  • Beiträge: 148
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fremdbumsen
Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Würde mich auch interessieren, da ich mehrere Shops am laufen habe und man sich nur die Arbeit machen will, die auch wirklich nötig ist.

Außerdem: Ist in den Downloads der Vollversionen dies auch gleich gefixt worden?
(Hintergrund: Werde noch in diesem Monat die neueste Shop-Version runterladen, da mal wieder ein neuer Shop installiert werden muss.)

Online awids

  • Experte
  • *****
  • Beiträge: 2.484
  • Geschlecht: Männlich
    • Teile Beitrag
    • awids Onlineshop
Die aktuelle Shopversion ist von April, der Fix von Mai d. J. - also nicht im Downloadpaket für 2.0.2.2 enthalten, da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Offline Chopper-Fahrer

  • Mitglied
  • ***
  • Beiträge: 148
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fremdbumsen
da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Gut, das wollte ich wissen. Ich dachte das solche Sicherheitslücken im aktuellen Download gleich geändert werden damit neue "Downloader" solche Sicherheitsupdates nicht verpassen können ;)

Steht also nur noch die andere Frage im Raum, ob der Fix auch nötig ist wenn man dieses Modul nicht nutzt.

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 9.989
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Wenn man sich vergegenwärtigt, daß die Klasse it_recht_kanzlei in lediglich einer Datei instantiiert wird und in dieser Datei der Code mit folgendem umgeben ist
Code: PHP  [Auswählen]
  if (defined('MODULE_API_IT_RECHT_KANZLEI_STATUS')
      && MODULE_API_IT_RECHT_KANZLEI_STATUS == 'true'
      )
  {
jeglicher Code aus dem Fix also nur ausgeführt wird wenn das Modul aktiv ist,
darf man davon ausgehen, daß der Fix nicht nötig ist wenn das Modul nicht benutzt wird.

Meine Wenigkeit würde jedoch jedem dringend empfehlen den Fix trotzdem einzuspielen, insbesondere wenn es sich um Kunden handelt. Man weiß nämlich nie ob sich jemand später doch entscheidet sich des Modules zu bedienen, bis dahin längst vergessen habend (oder gar nie gewußt habend), daß es dort eine Sicherheitslücke gab.
Den Gedankengang müsste eigentlich jeder machen.

Gruß,
noRiddle


Teile per facebook Teile per linkedin Teile per twitter