Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheitspatch für Zen Cart 1.5.4 bis 1.5.0 vom 18. März 2016

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Sicherheitspatch für Zen Cart 1.5.4 bis 1.5.0 vom 18. März 2016

    Der angehängte Patch ist geeignet für folgende deutsche Zen Cart Versionen:
    1.5.4
    1.5.3
    1.5.1
    1.5.0

    Der Patch behebt eine XSS Sicherheitslücke im Adminbereich.
    Um diese Lücke überhaupt ausnutzen zu können müsste allerdings bereits Zugriff auf den Adminbereich bestehen.
    Trotzdem wird empfohlen, den Patch umgehend einzuspielen.

    DEINADMIN auf den Namen des Adminverzeichnisses umbenennen und dann in der vorgegebenen Struktur hochladen.
    Dabei wird die bestehenden Datei DEINADMIN/includes/init_includes/init_sanitize.php überschrieben.
    Die Datei DEINADMIN/includes/classes/AdminRequestSanitizer.php ist neu.

    Dieser Patch ist in der kommenden deutschen Zen Cart Version 1.5.5 bereits enthalten.

    ACHTUNG:

    Dieser Patch ist sehr restriktiv und erlaubt die ungefilterte Eingabe von HTML Code nur noch in den dafür vorgesehenen Standardfeldern in der Datenbank, z.B. in der Tabelle products_description im Feld products_description.

    Falls Sie die Datenbank mit Zusatzfeldern erweitert haben, die HTML Code aufnehmen müssen, dann sind Anpassungen nötig in der DEINADMIN/includes/init_includes/init_sanitize.php

    Beispiel:
    Das Modul Google Merchant Center erweitert die Tabelle products um das Feld products_taxonomy
    In dieses Feld müssen die in der Administration eingegebenen Trennzeichen > unverändert übernommen werden. Das Feld muss daher von der Bereinigung ausgenommen werden:

    ca. Zeile 211 definiert die Felder, in den HTML Code unverändert erlaubt wird:
    Code:
    $group = array('products_description', 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments');
    $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
    Hier muss dann also das Feld products_taxonomy ergänzt werden:
    Code:
    $group = array('products_description', [COLOR=#ff0000]'products_taxonomy'[/COLOR], 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments');
    $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
    Typische andere Erweiterungen, die solche neuen Felder anlegen könnten, sind z.B. zusätzliche Kurzbeschreibungen (products_short_desc) für die Artikelbeschreibungen oder zusätzliche Kategoriebeschreibungsfelder. Wenn Ihnen nach Einspielen dieses Patches auffällt. dass HTML Zeichen wie <br/> beim Bearbeiten von Artikeldetails in Ihren Zusatzfeldern nicht übernommen oder verändert übernommen werden, dann müssen Sie Ihre Datenbankfelder entsprechend nachtragen.

    Hinweise zum Deaktivieren der strengen neuen Funktionen und Hinweise für Modulautoren zum Anpassen ihrer Plugins hier:
    Angehängte Dateien
    Zuletzt geändert von webchills; 18.03.2016, 17:10.
Info zu diesem Forenarchiv:
Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
Fehler in der Software können auf Github als Issues gemeldet werden.
Follow us
aktuelle version
Zen Cart 1.5.7g deutsch
vom 12.12.2023
[Download]
Lädt...
X