Thema: !!! Securty Patch 24.11.2008 !!! Einspielen !!!

Anonym · **am:** 24. November 2008, 22:57:30

Nach der Nachricht von xt:Commerce in Bezug auf Sicherheitslücken, haben wir heute ( Danke Herr Döhner ) eine Nachricht im Forenregeln beachten! ))/shopsoftware/2008/11/24/magic_quotes-und-suchmaschinenfreundliche-urls/'); return false;" class="bbc_link" target="_blank" rel="noopener" target="_blank">Gambio Blog gelesen. In dieser werden weitere Sicherheitslücken bekannt gegeben und es wird dringenst empfohlen den Sicherheits-Patch zu installieren. !!!!

Was hat sich geändet? Nur für erfahrene User.

1. Die Datei includes/modules/metatags.php MUSS komplett ausgetauscht werden.
2. Die Datei includes/modules/application_top.php muß wie folgt geändert werden

Suchen Sie nach:

Code: PHP [Auswählen]

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

Ersetzen mit:

Code: PHP [Auswählen]

$_GET[$key] = $value;

weiter mit

Suchen Sie nach:

Code: PHP [Auswählen]

$_GET = $InputFilter->process($_GET);

Ersetzen mit:

Code: PHP [Auswählen]

$_GET = $InputFilter->process($_GET, true);

3. Die Datei includes/classes/class.inputfilter.php muß wie folgt geändert werden

Suchen Sie nach:

Code: PHP [Auswählen]

function process($source) {
// clean all elements in this array
if (is_array($source)) {
foreach ($source as $key => $value) {
// filter element for XSS and other 'bad' code etc.
$tmp_key = $key;
unset ($source[$key]);
$key = $this->remove($this->decode($key));
if ($key != $tmp_key) {
return $source;
} else {
if (is_string($value)) {
$source[$key] = $this->remove($this->decode($value));
} elseif (is_array($value)) {
$source[$key] = $this->process($value);
}
}
}
return $source;
// clean this string
} else
if (is_string($source)) {
// filter source for XSS and other 'bad' code etc.
return $this->remove($this->decode($source));
// return parameter as given
} else
return $source;
}

Ersetzen mit:

Code: PHP [Auswählen]

function process($source, $get=false)
{
if (SEARCH_ENGINE_FRIENDLY_URLS == 'true' && $get == true) {
if(sizeof($source)> 0)
{
$cleaned_source = array();
while(list($key, $value) = each($source)) {
if((bool) get_magic_quotes_gpc()) $key = addslashes($key);

if(is_array($value)) {
$value = $this->gm_clean_array($value);
} else {
if((bool) get_magic_quotes_gpc()) $value = addslashes($value);
}
$cleaned_source[$key] = $value;
}
$source = $cleaned_source;
}
}

// clean all elements in this array
if (is_array($source)) {
foreach ($source as $key => $value)
// filter element for XSS and other 'bad' code etc.
$tmp_key = $key;
unset ($source[$key]);
$key = $this->remove($this->decode($key));
if ($key != $tmp_key) {
return $source;
} else {
if (is_string($value)) {
$source[$key] = $this->remove($this->decode($value));
} elseif (is_array($value)) {
$source[$key] = $value;
}
}
return $source;
// clean this string
} else
if (is_string($source)) {
// filter source for XSS and other 'bad' code etc.
return $this->remove($this->decode($source));
// return parameter as given
} else
return $source;
}

Nochmals Danke an Gambio, ESTUGO und HHG

Linkback: https://www.modified-shop.org/forum/index.php?topic=96.0

Tomcraft · **Antwort #1 am:** 06. November 2009, 12:49:11

Ich denke das Thema braucht keine Fixierung mehr.

Grüße

Torsten

Thema: !!! Securty Patch 24.11.2008 !!! Einspielen !!!

Anonym

!!! Securty Patch 24.11.2008 !!! Einspielen !!!

Tomcraft

!!! Securty Patch 24.11.2008 !!! Einspielen !!!

Teile Thema

Ähnliche Themen

Windows Server 2008

Winows Server 2008

Installation auf Windows 2008 Server

Veraltet - Sicherheitsupdate für Shopversion 3.0.4 SP2.1 vor dem 20.11.2008