Ankündigung

Einklappen
Keine Ankündigung bisher.

Zen-Cart Sicherheitspatch 19.06.2009

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Zen-Cart Sicherheitspatch 19.06.2009

    WICHTIG: Zen-Cart Sicherheitspatch vom 19.06.2009 für Zen-Cart 1.3.8 und älter

    Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
    Betroffen sind die Zen-Cart Versionen 1.3.8 und älter

    Dieser Patch ist nur eine Zwischenstufe, um einen veralteten 1.3.8 Shop übergangsweise abzusichern.
    Wenn Sie noch immer Zen-Cart 1.3.8 oder älter einsetzen, aktualisieren Sie unbedingt auf mindestens Zen-Cart 1.3.9!


    Der Patch wurde in Zen-Cart 1.3.7 und 1.3.8 getestet.

    Installation des Sicherheitspatches vom 19.06.2009

    Der Patch betrifft nur Dateien im admin Verzeichnis und enthält fünf Dateien:
    1. <DEIN ADMIN VERZEICHNIS>/includes/functions/extra_functions/security_patch_v138_20090619.php - NEUE DATEI
    2. <DEIN ADMIN VERZEICHNIS>/includes/autoloaders/config.security_patch_v138_20090619.php - NEUE DATEI
    3. <DEIN ADMIN VERZEICHNIS>/includes/init_includes/init_security_patch_v138_20090619.php - NEUE DATEI
    4. <DEIN ADMIN VERZEICHNIS>/includes/extra_configures/security_patch_v138_20090619.php - NEUE DATEI
    5. <DEIN ADMIN VERZEICHNIS>/includes/functions/html_output.php - GEÄNDERTE DATEI

    Diese Dateien im Ordner admin in der vorgegebenen Struktur ins admin Verzeichnis hochladen bzw. in das umbenannte admin Verzeichnis.

    Hinweis:
    Auch im Frontend gibt es im includes/functions Verzeichnis eine Datei namens html_output.php
    Der Patch hat damit nichts zu tun, es geht hier nur um die admin/includes/functions/html_output.php
    Diese Datei wird dann vom Patch überschrieben.
    Es ist eher unwahrscheinlich, dass die admin/includes/functions/html_output.php bereits einmal geändert wurde.
    Um auf Nummer sicher zu gehen, kann man die Änderung auch manuell durchzuführen:
    Datei in einem Texteditor (empfohlen UltraEdit oder Notepad++) öffnen und die Funktion "zen_draw_form" suchen.
    Die letzte Zeile dieser Funktion ist:
    Code:
    return $form;
    Vor dieser Zeile die folgende Zeile einfügen:
    Code:
    $form .= '<input type="hidden" name="securityToken" value="' . $_SESSION['securityToken'] . '" />';
    Datei speichern und hochladen.

    Diese Anleitung ist auch im angehängten Patch zu finden (liesmich.txt).

    Weitere Informationen (in englisch) zum Patch auf:
    Hi, A SERIOUS vulnerability has been discovered in the admin section of v1.3.8 (and previous versions). To take advantage of this vulnerability any attacker must know the URL of your admin section. As our security recommendations point out, you should change the folder that your admin resides in as soon as you installed Zen Cart. However we realise that relying on this 'Security through Obscurity' is not foolproof, hence the release of this patch. A link to the patch file is posted


    Download des Patches für nicht eingeloggte Besucher:


    Hinweis:
    Aktuelle Zen-Cart Versionen (1.3.9 oder 1.5) sind davon NICHT betroffen.
    Zen-Cart 1.3.8 und älter sollten nicht mehr eingesetzt werden und werden nicht mehr supportet.
    Um immer über aktuelle Sicherheitswarnungen und Updates informiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum "News und Ankündigungen". Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
    Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link:
    Zuletzt geändert von webchills; 04.04.2012, 09:14.
Info zu diesem Forenarchiv:
Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
Fehler in der Software können auf Github als Issues gemeldet werden.
Follow us
aktuelle version
Zen Cart 1.5.7g deutsch
vom 12.12.2023
[Download]
Lädt...
X