WICHTIG: Zen-Cart Sicherheitspatch vom 19.06.2009 für Zen-Cart 1.3.8 und älter
Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
Betroffen sind die Zen-Cart Versionen 1.3.8 und älter
Dieser Patch ist nur eine Zwischenstufe, um einen veralteten 1.3.8 Shop übergangsweise abzusichern.
Wenn Sie noch immer Zen-Cart 1.3.8 oder älter einsetzen, aktualisieren Sie unbedingt auf mindestens Zen-Cart 1.3.9!
Der Patch wurde in Zen-Cart 1.3.7 und 1.3.8 getestet.
Installation des Sicherheitspatches vom 19.06.2009
Der Patch betrifft nur Dateien im admin Verzeichnis und enthält fünf Dateien:
1. <DEIN ADMIN VERZEICHNIS>/includes/functions/extra_functions/security_patch_v138_20090619.php - NEUE DATEI
2. <DEIN ADMIN VERZEICHNIS>/includes/autoloaders/config.security_patch_v138_20090619.php - NEUE DATEI
3. <DEIN ADMIN VERZEICHNIS>/includes/init_includes/init_security_patch_v138_20090619.php - NEUE DATEI
4. <DEIN ADMIN VERZEICHNIS>/includes/extra_configures/security_patch_v138_20090619.php - NEUE DATEI
5. <DEIN ADMIN VERZEICHNIS>/includes/functions/html_output.php - GEÄNDERTE DATEI
Diese Dateien im Ordner admin in der vorgegebenen Struktur ins admin Verzeichnis hochladen bzw. in das umbenannte admin Verzeichnis.
Hinweis:
Auch im Frontend gibt es im includes/functions Verzeichnis eine Datei namens html_output.php
Der Patch hat damit nichts zu tun, es geht hier nur um die admin/includes/functions/html_output.php
Diese Datei wird dann vom Patch überschrieben.
Es ist eher unwahrscheinlich, dass die admin/includes/functions/html_output.php bereits einmal geändert wurde.
Um auf Nummer sicher zu gehen, kann man die Änderung auch manuell durchzuführen:
Datei in einem Texteditor (empfohlen UltraEdit oder Notepad++) öffnen und die Funktion "zen_draw_form" suchen.
Die letzte Zeile dieser Funktion ist:
Vor dieser Zeile die folgende Zeile einfügen:
Datei speichern und hochladen.
Diese Anleitung ist auch im angehängten Patch zu finden (liesmich.txt).
Weitere Informationen (in englisch) zum Patch auf:
Download des Patches für nicht eingeloggte Besucher:
Hinweis:
Aktuelle Zen-Cart Versionen (1.3.9 oder 1.5) sind davon NICHT betroffen.
Zen-Cart 1.3.8 und älter sollten nicht mehr eingesetzt werden und werden nicht mehr supportet.
Um immer über aktuelle Sicherheitswarnungen und Updates informiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum "News und Ankündigungen". Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link:
Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
Betroffen sind die Zen-Cart Versionen 1.3.8 und älter
Dieser Patch ist nur eine Zwischenstufe, um einen veralteten 1.3.8 Shop übergangsweise abzusichern.
Wenn Sie noch immer Zen-Cart 1.3.8 oder älter einsetzen, aktualisieren Sie unbedingt auf mindestens Zen-Cart 1.3.9!
Der Patch wurde in Zen-Cart 1.3.7 und 1.3.8 getestet.
Installation des Sicherheitspatches vom 19.06.2009
Der Patch betrifft nur Dateien im admin Verzeichnis und enthält fünf Dateien:
1. <DEIN ADMIN VERZEICHNIS>/includes/functions/extra_functions/security_patch_v138_20090619.php - NEUE DATEI
2. <DEIN ADMIN VERZEICHNIS>/includes/autoloaders/config.security_patch_v138_20090619.php - NEUE DATEI
3. <DEIN ADMIN VERZEICHNIS>/includes/init_includes/init_security_patch_v138_20090619.php - NEUE DATEI
4. <DEIN ADMIN VERZEICHNIS>/includes/extra_configures/security_patch_v138_20090619.php - NEUE DATEI
5. <DEIN ADMIN VERZEICHNIS>/includes/functions/html_output.php - GEÄNDERTE DATEI
Diese Dateien im Ordner admin in der vorgegebenen Struktur ins admin Verzeichnis hochladen bzw. in das umbenannte admin Verzeichnis.
Hinweis:
Auch im Frontend gibt es im includes/functions Verzeichnis eine Datei namens html_output.php
Der Patch hat damit nichts zu tun, es geht hier nur um die admin/includes/functions/html_output.php
Diese Datei wird dann vom Patch überschrieben.
Es ist eher unwahrscheinlich, dass die admin/includes/functions/html_output.php bereits einmal geändert wurde.
Um auf Nummer sicher zu gehen, kann man die Änderung auch manuell durchzuführen:
Datei in einem Texteditor (empfohlen UltraEdit oder Notepad++) öffnen und die Funktion "zen_draw_form" suchen.
Die letzte Zeile dieser Funktion ist:
Code:
return $form;
Code:
$form .= '<input type="hidden" name="securityToken" value="' . $_SESSION['securityToken'] . '" />';
Diese Anleitung ist auch im angehängten Patch zu finden (liesmich.txt).
Weitere Informationen (in englisch) zum Patch auf:
Download des Patches für nicht eingeloggte Besucher:
Hinweis:
Aktuelle Zen-Cart Versionen (1.3.9 oder 1.5) sind davon NICHT betroffen.
Zen-Cart 1.3.8 und älter sollten nicht mehr eingesetzt werden und werden nicht mehr supportet.
Um immer über aktuelle Sicherheitswarnungen und Updates informiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum "News und Ankündigungen". Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link: