[webchills]

WICHTIG: Zen-Cart Sicherheitspatch vom 19.06.2009

Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
Betroffen sind alle Zen-Cart Versionen (1.3.8 und älter)

Dies kann nur auftreten, wenn das admin Verzeichnis nicht umbenannt wurde.
Daher nochmals der dringende Hinweis:
Das admin Verzeichnis einer Zen-Cart Installation sollte immer umbenannt werden!
Eine Anleitung dazu gibt es hier:
http://www.zen-cart.at/zcvb/forum/vb...y&catid=5&id=6
Auch bei umbenanntem admin Verzeichnis sollte aber der Patch unbedingt eingespielt werden.

Der Patch wurde in allen Zen-Cart 1.3x Versionen getestet.
Zen-Cart 1.2x wird nicht mehr supportet. Wer noch immer 1.2.x einsetzt, sollte daher spätestens jetzt auf 1.3.8 updaten!

Installation des Sicherheitspatches vom 19.06.2009

Der Patch betrifft nur Dateien im admin Verzeichnis und enthält fünf Dateien:
1. <DEIN ADMIN VERZEICHNIS>/includes/functions/extra_functions/security_patch_v138_20090619.php - NEUE DATEI
2. <DEIN ADMIN VERZEICHNIS>/includes/autoloaders/config.security_patch_v138_20090619.php - NEUE DATEI
3. <DEIN ADMIN VERZEICHNIS>/includes/init_includes/init_security_patch_v138_20090619.php - NEUE DATEI
4. <DEIN ADMIN VERZEICHNIS>/includes/extra_configures/security_patch_v138_20090619.php - NEUE DATEI
5. <DEIN ADMIN VERZEICHNIS>/includes/functions/html_output.php - GEÄNDERTE DATEI

Diese Dateien im Ordner admin in der vorgegebenen Struktur ins admin Verzeichnis hochladen bzw. in das umbenannte admin Verzeichnis.

Hinweis:
Auch im Frontend gibt es im includes/functions Verzeichnis eine Datei namens html_output.php
Der Patch hat damit nichts zu tun, es geht hier nur um die admin/includes/functions/html_output.php
Diese Datei wird dann vom Patch überschrieben.
Es ist eher unwahrscheinlich, dass die admin/includes/functions/html_output.php bereits einmal geändert wurde.
Um auf Nummer sicher zu gehen, kann man die Änderung auch manuell durchzuführen:
Datei in einem Texteditor (empfohlen UltraEdit oder Notepad++) öffnen und die Funktion "zen_draw_form" suchen.
Die letzte Zeile dieser Funktion ist:

Code:

return $form;

Vor dieser Zeile die folgende Zeile einfügen:

Code:

$form .= '<input type="hidden" name="securityToken" value="' . $_SESSION['securityToken'] . '" />';

Datei speichern und hochladen.

Diese Anleitung ist auch im angehängten Patch zu finden (liesmich.txt).

Weitere Informationen (in englisch) zum Patch auf:
http://www.zen-cart.com/forum/showthread.php?t=130161

Download des Patches für nicht eingeloggte Besucher:
http://www.zen-cart.at/zcvb/forum/se...8_20090619.zip

Hinweis:
Die aktuelle Zen-Cart 1.3.8 Version (Revision 532) im Downloadbereich von zen-cart.at enthält den Patch bereits. Wenn Sie Zen-Cart also neu installieren, müssen Sie den Patch nicht einspielen. Nur nach der Installation das admin Verzeichnis umbenennen.
Um immer über aktuelle Sicherheitswarnungen und Updates informiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum "News und Ankündigungen". Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link:
http://www.zen-cart.at/zcvb/forum/su...bscription&f=8