QuickFix10 für commerce:SEO v2.1.2.9 Plus Sicherheitsupdate

ACHTUNG: IN DIESEM FIX WIRD DIESMAL EIN SCHWERER SICHERHEITSBUG BEREINIGT!!!

Vorab für alle, die es sofort einsetzen wollen. Die Schwachstelle geht am 01.07.2012 vom Entdecker raus und wurde uns vorab heute gemeldet.
Wir bitten, diese Information vorerst noch unter Verschluss zu halten. Betroffen sind wohl alle xt:Commerce 3, Gambio und ähnliche Forks, ausser xtcModified!!!

Beseitigung der Schwachstelle:

/admin/includes/application_top.php

Suche:

$current_page = preg_split('/\?/', basename($_SERVER['PHP_SELF'])); 
$current_page = $current_page[0];

Ersetze mit:

$current_page = basename($_SERVER['SCRIPT_NAME']);

Weiterhin kommen von Novalnet überarbeitete Zahlungmodule mit. Das Standard-Kreditkartenmodul wurde komplett überarbeitet!!! Es gib dafür jetzt eine iFrame lösung, die auch eine Datei im Template voraussetzt.
Wer eigene oder angepasste Templates verwendet, sollte die Datei novalnet_confirmation.html mit in den Templateordner unter module/ packen!!! Die Module von Novalnet wurden komplett überarbeitet! Bitte Anleitung von Novalnet beachten. Es wird jetzt häufiger ein Passwort verlangt.
Am besten, die Novalnet Module deinstallieren und neu installieren!!! Danach testen.

ACHTUNG: Geändert wurden auch:

• .htaccess
• application_bottom.php
• application_top.php
• header.php
• xajax.checkout.php
• cseo_css.php
• cseo_java.php

Wer hier Änderungen vorgenommen hat, bitte Unterschiede vergleichen!!!

Wie immer: VORHER Backup machen. Dann hoch laden und im Admin unter Module > Installation/Update das QF10 installieren!!!! Sonst gibt es Probleme beim Checkout wegen Artikelnummer für Attribute in die Tabelle orders_attributes schreiben.

################################################################################
Beginn QF10
################################################################################

364:
QF10 Beginn
Abfrage raus, nach nur Mobile, wegen iPad, macht keinen Sinn

-------------------------------
M(T ) : /includes/application_top.php

365:
Verbessesserung EUR Symbol PDF Rechnung
SEO URL Schönheitsfehler
Export Wir lieben Preise überarbeitet (kompatibel mit preisroboter)
slider_content jetzt generell verfügbar
Schönhetsfehler Sprachdatei barzehalung
Fix Manufakturer Boxen

-------------------------------
M(T ) : /README/2_Changelog.txt
M(T ) : /README/SQL_Updates/FP2.sql
M(T ) : /admin/create_pdf.php
M(T ) : /admin/includes/modules/cseo/commerce_seo_url.php
M(T ) : /admin/includes/modules/export/wlp.php
M(T ) : /admin/start.php
M(T ) : /includes/application_bottom.php
M(T ) : /includes/javascript/css/screen.css
M(T ) : /includes/javascript/js/easySlider1.7.js
M(T ) : /installer/sql/commerce_seo.sql
M(T ) : /lang/german/lang_german.conf
M(T ) : /lang/german/modules/payment/cash.php
M(T ) : /templates/cseo-css-v2/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v21-black/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v21-simplewhite/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v22/source/boxes/manufacturers.php

366:

403 für Scriptkiddis hinzu
-------------------------------
M(T ) : /.htaccess
A(T ) : /403.php

367:

QF10
Fix specials
kleinere Fehler behoben
-------------------------------
M(T ) : /admin/specials.php
M(T ) : /includes/classes/CSS.Class.php
M(T ) : /includes/classes/fuzzy_search.php
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_css.php
M(T ) : /includes/javascript/cseo_java.php
M(T ) : /lang/english/lang_english.conf
M(T ) : /lang/german/german.php
M(T ) : /templates/cseo-css-v2/module/checkout_payment_block.html

368:
DS in Ask a Question
Tagcloud Box nur noch Tags, wo auch Produkte aktiv sind

-------------------------------
M(T ) : /admin/includes/functions/general.php
M(T ) : /inc/cseo_truncate.inc.php
M(T ) : /includes/modules/product_ask_a_question.php
M(T ) : /lang/german/lang_ask_a_question_german.conf
M(T ) : /templates/cseo-css-v2/module/products_ask_a_question.html
M(T ) : /templates/cseo-css-v2/source/boxes/tagcloud.php

369:
Kleinere Bugfixes QF10

-------------------------------
M(T ) : /admin/includes/modules/categories_view.php
M(T ) : /admin/recover_cart_sales.php
M(T ) : /includes/classes/Smarty_2.6.26/cseo_plugins/function.index_html.php
M(T ) : /includes/classes/Smarty_2.6.26/cseo_plugins/function.outerContainer.php

370:

Specials im Produkt bearbeiten NEU
kleinere UTF-8 Fixes
Specials Bearbeitung überarbeitet und einheitliches Kaledner Icon

-------------------------------
M(T ) : /admin/banner_manager.php
M(T ) : /admin/coupon_admin.php
M(T ) : /admin/includes/classes/categories.php
A(T ) : /admin/includes/modules/categories_specials.php
M(T ) : /admin/includes/modules/new_product.php
M(T ) : /admin/specials.php
M(T ) : /admin/start.php
M(T ) : /includes/modules/product_info.php
A(T ) : /lang/english/admin/categories_specials.php
A(T ) : /lang/german/admin/categories_specials.php

371:

Bitte die alten löschen!!!!
-------------------------------
D : /admin/includes/modules/cseo/commerce_seo_url.php
D : /admin/includes/modules/cseo/cseo_image_processing_info.php
D : /admin/includes/modules/cseo/cseo_image_processing_mini.php
D : /admin/includes/modules/cseo/cseo_image_processing_popup.php
D : /admin/includes/modules/cseo/cseo_image_processing_thumb.php
D : /admin/includes/modules/cseo/image_processing.php
D : /admin/includes/modules/cseo/image_processing_category.php
D : /admin/includes/modules/cseo/image_processing_step.php

372:

Neues Image Processing, kein Abbruch mehr mit FF oder Chrome

-------------------------------
A(TP) : /admin/images/loading.gif
D : /admin/images/logo.jpg
A(T ) : /admin/includes/modules/cseo/commerce_seo_url.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_all.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_info.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_mini.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_popup.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_thumb.php
A(T ) : /admin/includes/modules/cseo/image_processing_category.php
M(T ) : /admin/module_system.php

373/374:

Neu: Erkläung folgt, kann man anstelle der "Mein Konto ..." einbauen
-------------------------------
A(T ) : /admin/includes/modules/install/headerkategorie.php
M(T ) : /templates/cseo-css-v2-m/source/boxes/best_sellers.php
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_0.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_1.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_2.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_3.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_4.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_5.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_6.html
M(T ) : /templates/cseo-css-v2/css/stylesheet.css
M(T ) : /templates/cseo-css-v2/source/boxes/best_sellers.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_0.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_1.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_2.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_3.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_4.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_5.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_6.php

375:

QuickFix10
Add: Attribut Art. Nr. bei Bestellung in die Datenbank!!!

-------------------------------
M(T ) : /admin/includes/functions/html_output.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_info.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_mini.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_popup.php
A(T ) : /admin/includes/modules/install/cseo_qf_10_update.php
M(T ) : /admin/module_paypal_install.php
M(T ) : /admin/reviews.php
M(T ) : /checkout_process.php
M(T ) : /create_account.php
M(T ) : /create_guest_account.php
M(T ) : /inc/xtc_image_submit.inc.php
M(T ) : /includes/application_bottom.php
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_css.php
M(T ) : /includes/javascript/cseo_java.php
M(T ) : /includes/javascript/js/product_info.js
M(T ) : /includes/modules/metatags.php
M(T ) : /installer/sql/commerce_seo.sql
M(T ) : /lang/german/admin/configuration.php
M(T ) : /lang/german/german.php
M(T ) : /lang/german/lang_german.conf
M(T ) : /shopping_cart.php
M(T ) : /taglisting.php
M(T ) : /templates/cseo-css-v2/module/shopping_cart.html

376:

-------------------------------
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_java.php

377:
Neue Regelung. Kurzbeschreibung jetzt auch im Checkout drinne

-------------------------------
M(T ) : /includes/classes/checkout.php
M(T ) : /includes/classes/order.php

378:
Bugfix Boxenmanager mehrsprachig

-------------------------------
M(T ) : /admin/box_manager.php

379:

-------------------------------
M(T ) : /admin/includes/modules/install/cseo_qf_10_update.php
M(T ) : /installer/sql/commerce_seo.sql

380:
Fix Content Child

-------------------------------
M(T ) : /inc/cseo_get_content.inc.php
M(T ) : /inc/cseo_get_content_child.inc.php
M(T ) : /includes/application_top.php

381:

-------------------------------
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php

382-87:

Sicherheitsupdate!!! Admin!!!

Novalnet neue Module!!!

-------------------------------
M(T ) : /admin/includes/application_top.php
M(T ) : /includes/classes/class.inputfilter.php
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php
M(T ) : /lang/english/modules/payment/novalnet_cc.php
M(T ) : /lang/english/modules/payment/novalnet_cc3d.php
M(T ) : /lang/english/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/english/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/english/modules/payment/novalnet_invoice.php
M(T ) : /lang/english/modules/payment/novalnet_prepayment.php
M(T ) : /lang/german/modules/payment/novalnet_cc.php
M(T ) : /lang/german/modules/payment/novalnet_cc3d.php
M(T ) : /lang/german/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/german/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/german/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_prepayment.php
A(T ) : /novalnet_confirmation.php
M(T ) : /sitemap.xml.php
A(T ) : /templates/cseo-css-v2/module/novalnet_confirmation.html

389:

UFT8 Fix Checkout

-------------------------------
A(T ) : /callback_novalnet2commerceseo.php
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
A(T ) : /includes/modules/payment/novalnet_paypal.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php
M(T ) : /includes/xajax.checkout.php
M(T ) : /lang/english/modules/payment/novalnet_cc.php
M(T ) : /lang/english/modules/payment/novalnet_cc3d.php
M(T ) : /lang/english/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de.php
M(T ) : /lang/english/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_cc.php
M(T ) : /lang/german/modules/payment/novalnet_cc3d.php
M(T ) : /lang/german/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/german/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/german/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_prepayment.php
M(T ) : /templates/cseo-css-v2/module/novalnet_confirmation.html

390:
Fehler Ausgabe Fix

-------------------------------
M(T ) : /checkout.php

################################################################################
Ende QF10
################################################################################

Noch ein wichtiger Hinweis:
Das war vorläufig das letzte größere update für die v2.1.x Plus mit Features. In Zukunft wird es nur bei Bedarf keinere Bugfixes noch geben. Neue Features bleiben ab sofort der v2.2 vorbehalten.
Also Magnalister, eTracker etc. sind alle schon in der v2.2 eingebaut und hier haben wir auch Support vom jeweiligen Anbiter.
Billsafe kommt als extra Modul auch für die v2.1 ab 01.07.2012. Abnahme läuft gerade.

Das war die Hauptlücke! Wir sind aber an einer tieferen Prüfung dran. So gravierendes wie oben gibt es aber im ganzen Shop nicht mehr.
In der v2.2 haben wir diverse Sachen schon erweitert, wie den inputfilter. Sind noch am Testen, wenn alles gut ist, dann kommt es ins nächste update mit rein.

Ja, da müssen wir noch die 1 Seite anpassen, sollte doch aber gehen?!?!?!

Oh ja Mit dem Checkout, da werden auch die Kurzbeschreibungen beim "normalen" Checkout angezeigt. joetest, verstehe die Frage nicht ganz.

Ach ja mit den Headerkageorie. Das sind quasi die Kategorie 0 - 6 analog zu den Multikategorie. Die lassen sich, statt Start > Anmelden ... einbauen.
Mache da in Kürze mal eine Anleitung Habe die einfach schon mal rein gepackt, wer wechseln will, also noch ein wenig Geduld.