Antwort #8 am: 27. April 2023, 00:10:20
@Q
Torsten möchte, dass ich dafür immer neue Tickets eröffne und nicht alte reopen.
@noRidlle
Ich habe nie bezweifelt, daß man die Smarty-Versionen updaten sollte, warum also sagst du das ?
Hab ich geschrieben, dass du das bezweifelst? Ich denke nicht.
Benutzt nicht jeder aktuelle Shop Smarty 4 und somit 4.1.1, was nach meinen Recherchen den Bug gefixt hat ?
Welchen Bug? @ChristianRothe hat nicht von einem bestimmten Bug gesprochen, sondern von mehreren. Wobei 3.1.48 nicht aus September 2022 ist, sondern 3.1.47.
Nach 4.1.1 kamen noch zwei Sicherheitsfixes. Du suggerierst mit deiner Aussage, dass man mit 4.1.1 uptodate bzw. auf der sicheren Seite sei.
Genauso wie mit dieser Aussage:
Jau, dann möge jeder der dies hier mitbekommt prüfen, ob in /templates/YOUR_TEMPLATE/config/config.php TEMPLATE_ENGINE auf 'smarty_4' steht.
Bis die nächste modified-Version erscheint könnte sich ja ansonsten jemand Sorgen machen.
Da smarty 3 und 4 parallel entwickelt werden sind diese was Sicherheitsfixes betrifft meist gleich auf. Warum in Shopversion 2.0.7.2 nicht smarty 3.1.45 (sicherheitstechnisch gleich wie 4.1.1) integriert wurde, sondern 3.1.44, will ich jetzt nicht mehr rausfinden, aber im Normalfall sind im Shop die zeitgleichen smarty 3 und 4 Versionen. Insofern hilft der Einwand auf smarty 4 zu stellen, was in 2.0.7.2 Standard ist, auch nicht.
Ich finde es jedoch nicht gut Unbedarfte
...
zu verunsichern.
Was soll jemand der auf diesen Thread stößt nun denken ?
Sich Sorgen machen, daß er eine Sicherheitslücke im Shop hat ?
Wenn man das schon so öffentlich schreibt, sollten alle Informationen die nötig sind enthalten sein. Sprich: Muß ich handeln ?
Nonchalant auf ein Ticket zu verweisen oder ein solches zu eröffnen hilft dem Live-Shop-Betreiber in keiner Weise.
(womit ich nicht dein Engagement angreifen möchte)
Meine Beiträge waren rein sachlich, ohne jemanden unnötig zu verunsichern. Und es war alles mögliche, was ich mit meinen Kenntnissen machen kann. Ich kann niemanden zum Handeln auffordern, wenn ich die Lösung nicht parat habe. Wie ich geschrieben habe, nützt das reine runterladen der neuesten Smarty Versionen nichts, da es noch spezifische modified Änderungen gibt. Deshalb der Vorschlag, die Fixes in den Veröffentlichungsthread zu integrieren. Was soll ich denn noch mehr machen?
Grüße Timm