Sicherheitsupdate SEO-URLs

Aus xtc-wiki

Wie von der xt:Commerce GmbH veröffenlicht, wurden in den suchmaschinenfreundlichen URLs bei eingeschalteten Magic_Quotes eine Sicherheitslücke vom Risikofaktor hoch gefunden.

Betroffen sind nur die xtc-hauseigenen SEO URLs mit PATH_INFO. Nachfolgendes Patch behebt diese Sicherheitslücke.

Für alle 3.0.4 Sp2.1 Versionen vor dem 20.11.2008. Downloadarchiv entpacken und die enthaltenen Dateien im Shop ersetzen.

Download: Patch 304sp21 seo magic quotes.zip

Quelle und Updates: http://www.xtc-load.de/2008/11/security-patch-fur-304-sp21-seo-urls/

[Bearbeiten] Sicherheitsupdate für XT Commerce 3.0.4 SP2.1, 20. November 2008, 16:13

Quelle: http://bitfuck.net/2008/11/20/sicherheitsupdate-fur-xt-commerce-304-sp21/

Es gibt eine Lücke in der aktuellen XT Commerce Installation (und vermutlich auch in allen nennenswerten davor):

Sicherheitsupdate für Shopversion 3.0.4 SP2.1 vor dem 20.11.2008.
Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)

Für alle die jetzt um Ihre angepassten Dateien fürchten: Die Änderungen halten sich äußerst in Grenzen und sollten ganz leicht händisch einzuarbeiten sein.

Datei includes/modules/metatags.php (~ Zeile 86): Ersetze

   WHERE content_group=’” . (int)$_GET['coID'] . “‘ and

durch

   WHERE content_group=’” . (int)$_GET['coID'] . “‘ and

Datei includes/application_top.php

~ Zeile 213 Suche nach

   $_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

folgende Zeile darunter setzen:

   if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

~ Zeile 221 Suche nach

   $_GET[$key] = htmlspecialchars($value);

Folgende Zeile darunter setzen:

   if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

Ich habe auch Patches mit Winmerge (anhand der Standarddateien) erstellt. Der für metags.php befindet sich hier: metatags, der für application_top.php hier: application_top