Ergebnis 1 bis 1 von 1

Thema: Sicherheitspatch für Zen Cart 1.5.4 bis 1.5.0 vom 18. März 2016

  1. #1
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.347
    Themen
    86
    DANKE
    3
    Erhaltene Danke: 1.045

    Ausrufezeichen Sicherheitspatch für Zen Cart 1.5.4 bis 1.5.0 vom 18. März 2016

    Der angehängte Patch ist geeignet für folgende deutsche Zen Cart Versionen:
    1.5.4
    1.5.3
    1.5.1
    1.5.0

    Der Patch behebt eine XSS Sicherheitslücke im Adminbereich.
    Um diese Lücke überhaupt ausnutzen zu können müsste allerdings bereits Zugriff auf den Adminbereich bestehen.
    Trotzdem wird empfohlen, den Patch umgehend einzuspielen.

    DEINADMIN auf den Namen des Adminverzeichnisses umbenennen und dann in der vorgegebenen Struktur hochladen.
    Dabei wird die bestehenden Datei DEINADMIN/includes/init_includes/init_sanitize.php überschrieben.
    Die Datei DEINADMIN/includes/classes/AdminRequestSanitizer.php ist neu.

    Dieser Patch ist in der kommenden deutschen Zen Cart Version 1.5.5 bereits enthalten.

    ACHTUNG:

    Dieser Patch ist sehr restriktiv und erlaubt die ungefilterte Eingabe von HTML Code nur noch in den dafür vorgesehenen Standardfeldern in der Datenbank, z.B. in der Tabelle products_description im Feld products_description.

    Falls Sie die Datenbank mit Zusatzfeldern erweitert haben, die HTML Code aufnehmen müssen, dann sind Anpassungen nötig in der DEINADMIN/includes/init_includes/init_sanitize.php

    Beispiel:
    Das Modul Google Merchant Center erweitert die Tabelle products um das Feld products_taxonomy
    In dieses Feld müssen die in der Administration eingegebenen Trennzeichen > unverändert übernommen werden. Das Feld muss daher von der Bereinigung ausgenommen werden:

    ca. Zeile 211 definiert die Felder, in den HTML Code unverändert erlaubt wird:
    Code:
    $group = array('products_description', 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments');
    $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
    Hier muss dann also das Feld products_taxonomy ergänzt werden:
    Code:
    $group = array('products_description', 'products_taxonomy', 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments');
    $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
    Typische andere Erweiterungen, die solche neuen Felder anlegen könnten, sind z.B. zusätzliche Kurzbeschreibungen (products_short_desc) für die Artikelbeschreibungen oder zusätzliche Kategoriebeschreibungsfelder. Wenn Ihnen nach Einspielen dieses Patches auffällt. dass HTML Zeichen wie <br/> beim Bearbeiten von Artikeldetails in Ihren Zusatzfeldern nicht übernommen oder verändert übernommen werden, dann müssen Sie Ihre Datenbankfelder entsprechend nachtragen.

    Hinweise zum Deaktivieren der strengen neuen Funktionen und Hinweise für Modulautoren zum Anpassen ihrer Plugins hier:
    http://docs.zen-cart.com/Developer_D...n_sanitization
    Angehängte Dateien Angehängte Dateien
    Geändert von webchills (18.03.2016 um 17:10 Uhr)
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  2. Folgende 2 User sagen Danke zu webchills für den nützlichen Beitrag:

    afrobay (18.03.2016),Beowolf (18.03.2016)

Ähnliche Themen

  1. Sicherheitspatch für Zen Cart 1.5.4 und älter vom 27. November 2015
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 27.11.2015, 16:06
  2. Sicherheitspatch für Zen Cart 1.5.4 und älter vom 12. September 2015
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 13.09.2015, 08:34
  3. Zen-Cart Sicherheitspatch 19.06.2009
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 22.06.2009, 08:01
  4. Zen-Cart Sicherheitspatch September 2008
    Von webchills im Forum News und Ankündigungen
    Antworten: 16
    Letzter Beitrag: 07.10.2008, 12:36
  5. Zen-Cart Sicherheitspatch Juli 2008
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 30.07.2008, 08:45

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5e deutsch
Revision 1208 vom 20.05.2017
[Download]