blog@grafikmaker.de

News, Tips und Tricks für Ecommerce, Webdesign, Programmierung, XTCommerce und xtcModified von grafikmaker.de

Neues Sicherheitsupdate für xtcommerce und andere Forks!

Vor kurzem wurde eine neue Sicherheitslücke bekannt, die in den Onlineshop-Systemen, basierend auf xtcommerce (3.04), existiert. Nicht betroffen ist das System xtcModified ab Version 1.05 SP1.
Das Sicherheitsupdate sollte schnellst möglich eingefügt werden.

Betroffen von dem Update ist die Datei admin/includes/application_top.php.

Hier sucht man folgende Zeile:

$current_page = split('\?', basename($_SERVER['PHP_SELF'])); $current_page = $current_page[0]; // for BadBlue(Win32) webserver compatibility

und ersetzt diese mit:

$current_page = explode('?', basename($_SERVER['PHP_SELF'])); $current_page = $current_page[0]; // for BadBlue(Win32) webserver compatibility

dann sucht man:

require('../' . DIR_WS_INCLUDES . 'write_customers_status.php');

und fügt danach folgendes ein:

if(file_exists($current_page) == false || $_SESSION['customers_status']['customers_status_id'] !== '0') {
xtc_redirect(xtc_href_link(FILENAME_LOGIN));
}

 

Oder einfach die Datei Downloaden und auf den Serverladen. Die Datei ist für das Shopsystem xtcommerce 3.04 SP1 und kann in unveränderte Systeme eingespielt werden.

Hier gibts den Download: Sicherheitsupdate für xtcommerce 3.04SP1 (871)

Wer Hilfe bei dem Update benötigt, kann sich gerne bei mir melden.

  • Dieser Beitrag wurde geschrieben von Thomas am 15. Jun 2012

5 Kommentare zu “Neues Sicherheitsupdate für xtcommerce und andere Forks!”

  1. Susanne schreibt:

    Erstmal dank für deine Beschreibung;
    kann ich die angegebene Datei auch für einen xtc_modified 1.03 nehmen ?
    Susanne

  2. Thomas schreibt:

    Hallo Susanne, ich habe leider keine Version1.03 mehr vorliegen um zu sehen in wie weit du diese Datei nutzen kannst. Wenn du magst, dann schick mir doch einfach mal deine aktuelle Datei per Mail und ich kann mir das anschauen.

  3. PHP-BOUTIQUE schreibt:

    Na also ich denke mal, das wichtigste in dem Patch ist aber hier nicht genannt, das ist nämlich das vorherige Ersetzen des split() oder spliti() durch explode(‚?‘,…

    Stichwort Zerobyte!

  4. Thomas schreibt:

    Danke für den Hinweis. Die Beschreibung wurde aktualisiert!

  5. Susanne schreibt:

    alle beschriebenen Stellen sind so in der 1.03 Version identisch vorhanden; habs entsprechend geändert.
    danke

Schreibe einen Kommentar


Copyright © 2018 Thomas Wernecke - Grafiker // Webdesigner // Programmierer // made width Wordpress