Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheitspatch für Zen Cart 1.5.4 und älter vom 27. November 2015

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Sicherheitspatch für Zen Cart 1.5.4 und älter vom 27. November 2015

    Dieser Patch ist in der aktuellen 1.5.4 Version auf SourceForge und im Downloadbereich (Revision 1083 vom 03.12.2015) bereits enthalten!

    In Zen Cart 1.5.4 und älter wurden Sicherheitslücken entdeckt.
    Der nötige Patch ist an dieses Posting angehängt und sollte umgehend eingespielt werden.

    Betroffen sind folgende 3 Dateien:

    1.
    ajax.php
    Diese Datei existiert nur in Zen Cart 1.5.4 deutsch

    Lösung:
    einfach die bestehende ajax.php mit der aus diesem Patchpaket ersetzen
    Für Versionen älter als 1.5.4 deutsch NICHT erforderlich!

    Die Sicherheitslücke in der ajax.php wird als schwerwiegend eingestuft, daher die ajax.php umgehend ersetzen, falls Sie Zen Cart 1.5.4 deutsch verwenden


    2.
    includes/modules/pages/checkout_confirmation/header_php.php
    Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter

    Lösung:
    Die includes/modules/pages/checkout_confirmation/header_php.php mit der aus diesem Patchpaket vergleichen und die Änderung manuell durchführen.

    ca. Zeile 51 ändern von:

    Code:
    $_SESSION['comments'] = $_POST['comments'];
    auf

    Code:
    $_SESSION['comments'] = zen_output_string_protected($_POST['comments']);

    3.
    includes/functions/html_output.php
    Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter

    Lösung:
    Die includes/functions/html_output.php mit der aus diesem Patchpaket vergleichen und die Änderungen manuell durchführen

    ca. Zeile 402 ändern von

    Code:
    return zen_draw_input_field($name, $value, $parameters, 'password', true);
    auf

    Code:
    return zen_draw_input_field($name, $value, $parameters, 'password', false);
    ca. Zeile 462 ändern von:

    Code:
      function zen_draw_hidden_field($name, $value = '', $parameters = '') {
        $field = '<input type="hidden" name="' . zen_sanitize_string(zen_output_string($name)) . '"';
    
        if (zen_not_null($value)) {
          $field .= ' value="' . zen_output_string($value) . '"';
        } elseif (isset($GLOBALS[$name]) && is_string($GLOBALS[$name])) {
          $field .= ' value="' . zen_output_string(stripslashes($GLOBALS[$name])) . '"';
        }
    auf

    Code:
      function zen_draw_hidden_field($name, $value = '~*~*#', $parameters = '') {
        $field = '<input type="hidden" name="' . zen_sanitize_string(zen_output_string($name)) . '"';
    
        if (zen_not_null($value) && $value != '~*~*#') {
          $field .= ' value="' . zen_output_string($value) . '"';
        } elseif (isset($GLOBALS[$name]) && is_string($GLOBALS[$name])) {
          $field .= ' value="' . zen_output_string(stripslashes($GLOBALS[$name])) . '"';
        }
    Angehängte Dateien
    Zuletzt geändert von webchills; 03.12.2015, 20:59. Grund: Fehler in ajax.php im Patch behoben
Info zu diesem Forenarchiv:
Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
Fehler in der Software können auf Github als Issues gemeldet werden.
Follow us
aktuelle version
Zen Cart 1.5.7g deutsch
vom 12.12.2023
[Download]
Lädt...
X