Smarty Update auf Smarty Version 3.1.48?

[ChristianRothe]

Im aktuellen Shop-Release wird Smarty in der Version 3.1.44 verwendet. Da für die Versionen kleiner als 3.1.47 dokumentierte Sicherheitslücken existieren, würde sich eigentlich ein Update der Template Engine auf die neueste Version 3.1.48 aus dem September 2022 empfehlen. Ist diesbezüglich schon etwas geplant?

https://github.com/smarty-php/smarty/releases/tag/v3.1.48

Linkback: https://www.modified-shop.org/forum/index.php?topic=42943.0

[Q]

Ja. Siehe Ticket #2455

[noRiddle (revilonetz)]

Benutzt nicht jeder aktuelle Shop Smarty 4 und somit 4.1.1, was nach meinen Recherchen den Bug gefixt hat ?
Sollte geklärt werden, um niemanden unnötig zu verunsichern.

Gruß,
noRiddle

[ChristianRothe]

Das verwendete Template kann die Smarty-Version, mit der es angezeigt werden möchte, über seine Config-Datei selbst festlegen. Es kann sich also selbst für Version 2, 3 oder 4 entscheiden. Deshalb gehört für die Templates, die Version 3 verwenden, die Smarty-Software auf den neuesten Stand gebracht.

[noRiddle (revilonetz)]

Jau, dann möge jeder der dies hier mitbekommt prüfen, ob in /templates/YOUR_TEMPLATE/config/config.php  TEMPLATE_ENGINE auf 'smarty_4' steht.
Bis die nächste modified-Version erscheint könnte sich ja ansonsten jemand Sorgen machen.

Gruß,
noRiddle

[Timm]

Moin

Nach 3.1.44 und 4.1.1 gab es für beide Versionen noch Sicherheitsfixes. Insofern wäre auch 4.1.1 nicht uptodate.

Und normal haben smarty 3 und 4 relativ zeitnah die gleichen Security Fixes. Wäre also vom Standpunkt Sicherheit egal was man nutzt.

Da im dev Demoshop bereits auf 3.1.47 und 4.3.0 upgedated wurde, es aber für beide Versionen genau ein Update mit Sicherheitsfixes gibt, werde ich mal wieder ein Ticket dafür erstellen.

Hiermit erledigt: Ticket #2500

Gruß Timm

EDIT:
Keine Ahnung wie groß die Sicherheitslücken sind. Eventuell wäre es überlegenswert solche Sicherheitsfixes auch im Veröffentlichungsthread der jeweiligen Shopversion zu posten. Man kann smarty ja nicht einfach in der neuesten Version drüberbügeln, da es immer diesen Hinweis bei smartyupdates gibt: "reimplement custom modifications & fixes for modified-shop".

[noRiddle (revilonetz)]

Zur Klarstellung:
Ich habe nie bezweifelt, daß man die Smarty-Versionen updaten sollte, warum also sagst du das ?
Ich finde es jedoch nicht gut Unbedarfte
- zu denen auch meine Wenigkeit in diesem Context gehört, weil ich die potentiellen Sicherheitslücken nicht kenne, was im I-Net zu finden ist ist zu allgemein gehalten -
zu verunsichern.
Was soll jemand der auf diesen Thread stößt nun denken ?
Sich Sorgen machen, daß er eine Sicherheitslücke im Shop hat ?

Wenn man das schon so öffentlich schreibt, sollten alle Informationen die nötig sind enthalten sein. Sprich: Muß ich handeln ?
Nonchalant auf ein Ticket zu verweisen oder ein  solches zu eröffnen hilft dem Live-Shop-Betreiber in keiner Weise.
(womit ich nicht dein Engagement angreifen möchte)

Gruß,
noRiddle

[Q]

Hiermit erledigt: Ticket #2500

Alternativ hätte man vermutlich auch das alte Ticket "reopen" können. Wer weiß wieviele Smartyuodates es bis zur nächsten Shopversion noch gibt 

[Timm]

@Q
Torsten möchte, dass ich dafür immer neue Tickets eröffne und nicht alte reopen.

@noRidlle

Ich habe nie bezweifelt, daß man die Smarty-Versionen updaten sollte, warum also sagst du das ?

Hab ich geschrieben, dass du das bezweifelst? Ich denke nicht.

Benutzt nicht jeder aktuelle Shop Smarty 4 und somit 4.1.1, was nach meinen Recherchen den Bug gefixt hat ?

Welchen Bug? @ChristianRothe hat nicht von einem bestimmten Bug gesprochen, sondern von mehreren. Wobei 3.1.48 nicht aus September 2022 ist, sondern 3.1.47.

Nach 4.1.1 kamen noch zwei Sicherheitsfixes. Du suggerierst mit deiner Aussage, dass man mit 4.1.1 uptodate bzw. auf der sicheren Seite sei.

Genauso wie mit dieser Aussage:

Jau, dann möge jeder der dies hier mitbekommt prüfen, ob in /templates/YOUR_TEMPLATE/config/config.php  TEMPLATE_ENGINE auf 'smarty_4' steht.
Bis die nächste modified-Version erscheint könnte sich ja ansonsten jemand Sorgen machen.

Da smarty 3 und 4 parallel entwickelt werden sind diese was Sicherheitsfixes betrifft meist gleich auf. Warum in Shopversion 2.0.7.2 nicht smarty 3.1.45 (sicherheitstechnisch gleich wie 4.1.1) integriert wurde, sondern 3.1.44, will ich jetzt nicht mehr rausfinden, aber im Normalfall sind im Shop die zeitgleichen smarty 3 und 4 Versionen. Insofern hilft der Einwand auf smarty 4 zu stellen, was in 2.0.7.2 Standard ist, auch nicht.

Ich finde es jedoch nicht gut Unbedarfte
...
zu verunsichern.
Was soll jemand der auf diesen Thread stößt nun denken ?
Sich Sorgen machen, daß er eine Sicherheitslücke im Shop hat ?

Wenn man das schon so öffentlich schreibt, sollten alle Informationen die nötig sind enthalten sein. Sprich: Muß ich handeln ?
Nonchalant auf ein Ticket zu verweisen oder ein  solches zu eröffnen hilft dem Live-Shop-Betreiber in keiner Weise.
(womit ich nicht dein Engagement angreifen möchte)

Meine Beiträge waren rein sachlich, ohne jemanden unnötig zu verunsichern. Und es war alles mögliche, was ich mit meinen Kenntnissen machen kann. Ich kann niemanden zum Handeln auffordern, wenn ich die Lösung nicht parat habe. Wie ich geschrieben habe, nützt das reine runterladen der neuesten Smarty Versionen nichts, da es noch spezifische modified Änderungen gibt. Deshalb der Vorschlag, die Fixes in den Veröffentlichungsthread zu integrieren. Was soll ich denn noch mehr machen?

Grüße Timm

[noRiddle (revilonetz)]

Du vergißt auf wen ich urspünglich geantwortet habe ?
Ja, es war von mehreren Lücken die Rede, da war ich nicht genau, ich fand jedoch nur eine einzige.
Außerdem war vom OP lediglich von Smarty 3 die Rede.

Ich denke Sicherheitslücken, wenn sie denn wirklich akut sind, sollten intern kommuniziert werden.
Was also, ich wiederhole mich, soll jemand der auf diesen Thread stößt nun denken ?
Sich Sorgen machen, daß er eine Sicherheitslücke im Shop hat ?

Gruß,
noRiddle

[ChristianRothe]

Ja, genau: Man sollte vorsichtshalber davon ausgehen, dass Sicherheitslücken im eigenen Shop vorhanden sind, solange man den Exploit nicht genau analysiert und verstanden hat - und deshalb dessen Relevanz für den eigenen Shop nicht beurteilen kann.

Bevor man sich aber mit den Details eines Exploits beschäftigt, ist man meist besser und schneller dran, einfach auf die neueste Softwareversion umzustellen.

Manche Nutzer werden übriges gar nicht von Smarty 3 auf 4 umstellen können. Bei Version 4 ist zum Beispiel die Unterstützung von {php}-Blöcken in den Templates entfallen. Wer dies nutzt, kommt gar nicht von Version 3 weg.

[awids]

PHP-Blöcke sind schon mit dem Release von Smarty 3 entfallen. Allenfalls kommen Smarty 3-Nutzer in diese Bredouille.

[ChristianRothe]

In Smarty 3 kann man die PHP-Blöcke, die standardmäßig deaktiv sind, durch eine Smarty-Einstellung wieder aktivieren.

Code: PHP  [Auswählen]

// PHP-Tags erlauben
$smarty->allow_php_tag = true;
 

[awids]

Davon weiß der 0-8-15-Standnutzer hier ja eh nichts von. Ich gehe allgemein immer von den Grundeinstellungen aus. Aber natürlich ist es wichtig, darauf hinzuweisen, da hast du Recht.

[ChristianRothe]

Ich denke, dass die Entwickler der Shop-Software nicht wissen können, welchen Kauf-Template-Satz (oder gar selbst entwickelte Templates) der Shopbetreiber einsetzen wird. Deshalb sollte die Shop-Software für möglichst viele Eventualitäten gerüstet und einstellbar sein. Heißt im Fall von Smarty: Dass die Smarty-Versionen 2, 3 und 4 im Modified Shop einsetzbar sind, finde ich genau richtig.