Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für Shopversionen ab 1.06 SP2 (security_fix_2017_05_08.zip)  (Gelesen 7046 mal)

Offline voodoopupp

  • Fördermitglied
  • *****
  • Beiträge: 1.337
    • Teile Beitrag
Okay, da magst du recht haben. An solche Art von Betreuung habe ich nicht gedacht. Dachte eher, dass ein Händler zwei Dateien selber austauschen kann ;)

Safeterms - Sichere Rechtstexte für Online Händler

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.601
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Das machen die aber nicht. Die rufen mich an und fragen ob es auch für sie notwendig ist  :-D

Offline voodoopupp

  • Fördermitglied
  • *****
  • Beiträge: 1.337
    • Teile Beitrag
Na solche Kunden möchte ich nicht haben :)

Offline Chopper-Fahrer

  • Mitglied
  • ***
  • Beiträge: 138
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fremdbumsen
Frage:

ist diese Sicherheitslücke auch ausnutzbar wenn die Schnittstelle nicht installiert (im Sinne von aktiviert) ist?

Oder anders gefragt: ist es wichtig das ALLE Händler diese Dateien austauschen oder nur die Kunden der IT Recht Kanzlei?

Würde mich auch interessieren, da ich mehrere Shops am laufen habe und man sich nur die Arbeit machen will, die auch wirklich nötig ist.

Außerdem: Ist in den Downloads der Vollversionen dies auch gleich gefixt worden?
(Hintergrund: Werde noch in diesem Monat die neueste Shop-Version runterladen, da mal wieder ein neuer Shop installiert werden muss.)

Offline awids

  • Fördermitglied
  • *****
  • Beiträge: 2.321
  • Geschlecht: Männlich
    • Teile Beitrag
    • awids Onlineshop
Die aktuelle Shopversion ist von April, der Fix von Mai d. J. - also nicht im Downloadpaket für 2.0.2.2 enthalten, da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Offline Chopper-Fahrer

  • Mitglied
  • ***
  • Beiträge: 138
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fremdbumsen
da bereits veröffentlichte Versionen nicht nachträglich verändert werden.

Gut, das wollte ich wissen. Ich dachte das solche Sicherheitslücken im aktuellen Download gleich geändert werden damit neue "Downloader" solche Sicherheitsupdates nicht verpassen können ;)

Steht also nur noch die andere Frage im Raum, ob der Fix auch nötig ist wenn man dieses Modul nicht nutzt.

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 9.736
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Wenn man sich vergegenwärtigt, daß die Klasse it_recht_kanzlei in lediglich einer Datei instantiiert wird und in dieser Datei der Code mit folgendem umgeben ist
Code: PHP  [Auswählen]
  if (defined('MODULE_API_IT_RECHT_KANZLEI_STATUS')
      && MODULE_API_IT_RECHT_KANZLEI_STATUS == 'true'
      )
  {
jeglicher Code aus dem Fix also nur ausgeführt wird wenn das Modul aktiv ist,
darf man davon ausgehen, daß der Fix nicht nötig ist wenn das Modul nicht benutzt wird.

Meine Wenigkeit würde jedoch jedem dringend empfehlen den Fix trotzdem einzuspielen, insbesondere wenn es sich um Kunden handelt. Man weiß nämlich nie ob sich jemand später doch entscheidet sich des Modules zu bedienen, bis dahin längst vergessen habend (oder gar nie gewußt habend), daß es dort eine Sicherheitslücke gab.
Den Gedankengang müsste eigentlich jeder machen.

Gruß,
noRiddle


Teile per facebook Teile per linkedin Teile per twitter