Secure Update für XTC-Basierende shops [Archiv] - Shop Support | Gambio GX Support

berny

17.06.2012, 19:23

admin/includes/application_top.php

Nach der Zeile

require('../' . DIR_WS_INCLUDES . 'write_customers_status.php');

folgenden Code einfügen:

if(file_exists($current_page) == false || $_SESSION['customers_status']['customers_status_id'] !== '0') {
xtc_redirect(xtc_href_link(FILENAME_LOGIN));
}

KlausK

27.06.2012, 22:24

Das Sicherheits-Update ist so dringend, dass Gambio heute eine Mail an alle registrierten Kunden gesendet hat.

Auszug aus der eMail:

Mit dem Security-Patch wird eine Sicherheitslücke geschlossen, welche in einer Reihe von Shopsystemen besteht, darunter auch alle Gambio-Versionen. Ohne fundierte Kenntnisse ist diese Lücke nur schwer auszunutzen. Der Entdecker der Sicherheitslücke wird jedoch in den kommenden Tagen ausführliche Informationen zu dieser Lücke veröffentlichen und damit bekanntgeben, wie diese ausgenutzt werden kann. Bislang wurden diese Informationen nur einem ausgewählten Kreis zur Verfügung gestellt, damit entsprechende Updates für die betroffenen Shopsysteme erstellt werden können und die betroffenen Shopbetreiber genügend Zeit zur Verfügung haben, diese einzuspielen.

Es ist nicht auszuschließen, dass nach Bekanntwerden von Details versucht werden wird, ungesicherte Shops zu hacken und Daten zu stehlen. In Ihrem eigenen Interesse bitten wir Sie deshalb nochmals, das von uns zur Verfügung gestellte Security-Patch einzuspielen.

Auszug aus der Installationsanleitung:

ACHTUNG! Dieses Update ist für alle Gambio-Versionen (2005, 2006, 2007, GX1 und GX2)
bis einschließlich GX2 v2.0.10b erforderlich! Ab v2.0.10c ist diese Änderung bereits
standardmäßig enthalten.

Es sind ebenso alle 3.0.x-Versionen von xtCommerce bis einschließlich v3.0.4 SP2.1
(Release vom 24.04.2008) betroffen.

Dieses Update schließt ein akutes Sicherheitsproblem im Shop. Das Einspielen dieses
Updates wird darum allen Shopbetreibern dringend empfohlen.