ACHTUNG: IN DIESEM FIX WIRD DIESMAL EIN SCHWERER SICHERHEITSBUG BEREINIGT!!!
Vorab für alle, die es sofort einsetzen wollen. Die Schwachstelle geht am 01.07.2012 vom Entdecker raus und wurde uns vorab heute gemeldet.
Wir bitten, diese Information vorerst noch unter Verschluss zu halten. Betroffen sind wohl alle xt:Commerce 3, Gambio und ähnliche Forks, ausser xtcModified!!!
Beseitigung der Schwachstelle:
/admin/includes/application_top.php
Suche:
$current_page = preg_split('/\?/', basename($_SERVER['PHP_SELF']));
$current_page = $current_page[0];
Ersetze mit:
Weiterhin kommen von Novalnet überarbeitete Zahlungmodule mit. Das Standard-Kreditkartenmodul wurde komplett überarbeitet!!! Es gib dafür jetzt eine iFrame lösung, die auch eine Datei im Template voraussetzt.
Wer eigene oder angepasste Templates verwendet, sollte die Datei novalnet_confirmation.html mit in den Templateordner unter module/ packen!!! Die Module von Novalnet wurden komplett überarbeitet! Bitte Anleitung von Novalnet beachten. Es wird jetzt häufiger ein Passwort verlangt.
Am besten, die Novalnet Module deinstallieren und neu installieren!!! Danach testen.
ACHTUNG: Geändert wurden auch:
- .htaccess
- application_bottom.php
- application_top.php
- header.php
- xajax.checkout.php
- cseo_css.php
- cseo_java.php
Wer hier Änderungen vorgenommen hat, bitte Unterschiede vergleichen!!!
Wie immer: VORHER Backup machen. Dann hoch laden und im Admin unter Module > Installation/Update das QF10 installieren!!!! Sonst gibt es Probleme beim Checkout wegen Artikelnummer für Attribute in die Tabelle orders_attributes schreiben.
################################################################################
Beginn QF10
################################################################################
364:
QF10 Beginn
Abfrage raus, nach nur Mobile, wegen iPad, macht keinen Sinn
-------------------------------
M(T ) : /includes/application_top.php
365:
Verbessesserung EUR Symbol PDF Rechnung
SEO URL Schönheitsfehler
Export Wir lieben Preise überarbeitet (kompatibel mit preisroboter)
slider_content jetzt generell verfügbar
Schönhetsfehler Sprachdatei barzehalung
Fix Manufakturer Boxen
-------------------------------
M(T ) : /README/2_Changelog.txt
M(T ) : /README/SQL_Updates/FP2.sql
M(T ) : /admin/create_pdf.php
M(T ) : /admin/includes/modules/cseo/commerce_seo_url.php
M(T ) : /admin/includes/modules/export/wlp.php
M(T ) : /admin/start.php
M(T ) : /includes/application_bottom.php
M(T ) : /includes/javascript/css/screen.css
M(T ) : /includes/javascript/js/easySlider1.7.js
M(T ) : /installer/sql/commerce_seo.sql
M(T ) : /lang/german/lang_german.conf
M(T ) : /lang/german/modules/payment/cash.php
M(T ) : /templates/cseo-css-v2/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v21-black/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v21-simplewhite/source/boxes/manufacturers.php
M(T ) : /templates/cseo-css-v22/source/boxes/manufacturers.php
366:
403 für Scriptkiddis hinzu
-------------------------------
M(T ) : /.htaccess
A(T ) : /403.php
367:
QF10
Fix specials
kleinere Fehler behoben
-------------------------------
M(T ) : /admin/specials.php
M(T ) : /includes/classes/CSS.Class.php
M(T ) : /includes/classes/fuzzy_search.php
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_css.php
M(T ) : /includes/javascript/cseo_java.php
M(T ) : /lang/english/lang_english.conf
M(T ) : /lang/german/german.php
M(T ) : /templates/cseo-css-v2/module/checkout_payment_block.html
368:
DS in Ask a Question
Tagcloud Box nur noch Tags, wo auch Produkte aktiv sind
-------------------------------
M(T ) : /admin/includes/functions/general.php
M(T ) : /inc/cseo_truncate.inc.php
M(T ) : /includes/modules/product_ask_a_question.php
M(T ) : /lang/german/lang_ask_a_question_german.conf
M(T ) : /templates/cseo-css-v2/module/products_ask_a_question.html
M(T ) : /templates/cseo-css-v2/source/boxes/tagcloud.php
369:
Kleinere Bugfixes QF10
-------------------------------
M(T ) : /admin/includes/modules/categories_view.php
M(T ) : /admin/recover_cart_sales.php
M(T ) : /includes/classes/Smarty_2.6.26/cseo_plugins/function.index_html.php
M(T ) : /includes/classes/Smarty_2.6.26/cseo_plugins/function.outerContainer.php
370:
Specials im Produkt bearbeiten NEU
kleinere UTF-8 Fixes
Specials Bearbeitung überarbeitet und einheitliches Kaledner Icon
-------------------------------
M(T ) : /admin/banner_manager.php
M(T ) : /admin/coupon_admin.php
M(T ) : /admin/includes/classes/categories.php
A(T ) : /admin/includes/modules/categories_specials.php
M(T ) : /admin/includes/modules/new_product.php
M(T ) : /admin/specials.php
M(T ) : /admin/start.php
M(T ) : /includes/modules/product_info.php
A(T ) : /lang/english/admin/categories_specials.php
A(T ) : /lang/german/admin/categories_specials.php
371:
Bitte die alten löschen!!!!
-------------------------------
D : /admin/includes/modules/cseo/commerce_seo_url.php
D : /admin/includes/modules/cseo/cseo_image_processing_info.php
D : /admin/includes/modules/cseo/cseo_image_processing_mini.php
D : /admin/includes/modules/cseo/cseo_image_processing_popup.php
D : /admin/includes/modules/cseo/cseo_image_processing_thumb.php
D : /admin/includes/modules/cseo/image_processing.php
D : /admin/includes/modules/cseo/image_processing_category.php
D : /admin/includes/modules/cseo/image_processing_step.php
372:
Neues Image Processing, kein Abbruch mehr mit FF oder Chrome
-------------------------------
A(TP) : /admin/images/loading.gif
D : /admin/images/logo.jpg
A(T ) : /admin/includes/modules/cseo/commerce_seo_url.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_all.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_info.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_mini.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_popup.php
A(T ) : /admin/includes/modules/cseo/cseo_image_processing_thumb.php
A(T ) : /admin/includes/modules/cseo/image_processing_category.php
M(T ) : /admin/module_system.php
373/374:
Neu: Erkläung folgt, kann man anstelle der "Mein Konto ..." einbauen
-------------------------------
A(T ) : /admin/includes/modules/install/headerkategorie.php
M(T ) : /templates/cseo-css-v2-m/source/boxes/best_sellers.php
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_0.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_1.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_2.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_3.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_4.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_5.html
A(T ) : /templates/cseo-css-v2/boxes/box_categories_nav_6.html
M(T ) : /templates/cseo-css-v2/css/stylesheet.css
M(T ) : /templates/cseo-css-v2/source/boxes/best_sellers.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_0.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_1.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_2.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_3.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_4.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_5.php
A(T ) : /templates/cseo-css-v2/source/boxes/categories_nav_6.php
375:
QuickFix10
Add: Attribut Art. Nr. bei Bestellung in die Datenbank!!!
-------------------------------
M(T ) : /admin/includes/functions/html_output.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_info.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_mini.php
M(T ) : /admin/includes/modules/cseo/cseo_image_processing_popup.php
A(T ) : /admin/includes/modules/install/cseo_qf_10_update.php
M(T ) : /admin/module_paypal_install.php
M(T ) : /admin/reviews.php
M(T ) : /checkout_process.php
M(T ) : /create_account.php
M(T ) : /create_guest_account.php
M(T ) : /inc/xtc_image_submit.inc.php
M(T ) : /includes/application_bottom.php
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_css.php
M(T ) : /includes/javascript/cseo_java.php
M(T ) : /includes/javascript/js/product_info.js
M(T ) : /includes/modules/metatags.php
M(T ) : /installer/sql/commerce_seo.sql
M(T ) : /lang/german/admin/configuration.php
M(T ) : /lang/german/german.php
M(T ) : /lang/german/lang_german.conf
M(T ) : /shopping_cart.php
M(T ) : /taglisting.php
M(T ) : /templates/cseo-css-v2/module/shopping_cart.html
376:
-------------------------------
M(T ) : /includes/header.php
M(T ) : /includes/javascript/cseo_java.php
377:
Neue Regelung. Kurzbeschreibung jetzt auch im Checkout drinne
-------------------------------
M(T ) : /includes/classes/checkout.php
M(T ) : /includes/classes/order.php
378:
Bugfix Boxenmanager mehrsprachig
-------------------------------
M(T ) : /admin/box_manager.php
379:
-------------------------------
M(T ) : /admin/includes/modules/install/cseo_qf_10_update.php
M(T ) : /installer/sql/commerce_seo.sql
380:
Fix Content Child
-------------------------------
M(T ) : /inc/cseo_get_content.inc.php
M(T ) : /inc/cseo_get_content_child.inc.php
M(T ) : /includes/application_top.php
381:
-------------------------------
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php
382-87:
Sicherheitsupdate!!! Admin!!!
Novalnet neue Module!!!
-------------------------------
M(T ) : /admin/includes/application_top.php
M(T ) : /includes/classes/class.inputfilter.php
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php
M(T ) : /lang/english/modules/payment/novalnet_cc.php
M(T ) : /lang/english/modules/payment/novalnet_cc3d.php
M(T ) : /lang/english/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/english/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/english/modules/payment/novalnet_invoice.php
M(T ) : /lang/english/modules/payment/novalnet_prepayment.php
M(T ) : /lang/german/modules/payment/novalnet_cc.php
M(T ) : /lang/german/modules/payment/novalnet_cc3d.php
M(T ) : /lang/german/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/german/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/german/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_prepayment.php
A(T ) : /novalnet_confirmation.php
M(T ) : /sitemap.xml.php
A(T ) : /templates/cseo-css-v2/module/novalnet_confirmation.html
389:
UFT8 Fix Checkout
-------------------------------
A(T ) : /callback_novalnet2commerceseo.php
M(T ) : /includes/modules/payment/novalnet_cc.php
M(T ) : /includes/modules/payment/novalnet_cc3d.php
M(T ) : /includes/modules/payment/novalnet_cc_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_at.php
M(T ) : /includes/modules/payment/novalnet_elv_at_pci.php
M(T ) : /includes/modules/payment/novalnet_elv_de.php
M(T ) : /includes/modules/payment/novalnet_elv_de_pci.php
M(T ) : /includes/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /includes/modules/payment/novalnet_invoice.php
A(T ) : /includes/modules/payment/novalnet_paypal.php
M(T ) : /includes/modules/payment/novalnet_prepayment.php
M(T ) : /includes/xajax.checkout.php
M(T ) : /lang/english/modules/payment/novalnet_cc.php
M(T ) : /lang/english/modules/payment/novalnet_cc3d.php
M(T ) : /lang/english/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/english/modules/payment/novalnet_elv_at.php
M(T ) : /lang/english/modules/payment/novalnet_elv_de.php
M(T ) : /lang/english/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_cc.php
M(T ) : /lang/german/modules/payment/novalnet_cc3d.php
M(T ) : /lang/german/modules/payment/novalnet_cc_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at.php
M(T ) : /lang/german/modules/payment/novalnet_elv_at_pci.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de.php
M(T ) : /lang/german/modules/payment/novalnet_elv_de_pci.php
M(T ) : /lang/german/modules/payment/novalnet_instantbanktransfer.php
M(T ) : /lang/german/modules/payment/novalnet_invoice.php
M(T ) : /lang/german/modules/payment/novalnet_prepayment.php
M(T ) : /templates/cseo-css-v2/module/novalnet_confirmation.html
390:
Fehler Ausgabe Fix
-------------------------------
M(T ) : /checkout.php
################################################################################
Ende QF10
################################################################################
Noch ein wichtiger Hinweis:
Das war vorläufig das letzte größere update für die v2.1.x Plus mit Features. In Zukunft wird es nur bei Bedarf keinere Bugfixes noch geben. Neue Features bleiben ab sofort der v2.2 vorbehalten.
Also Magnalister, eTracker etc. sind alle schon in der v2.2 eingebaut und hier haben wir auch Support vom jeweiligen Anbiter.
Billsafe kommt als extra Modul auch für die v2.1 ab 01.07.2012. Abnahme läuft gerade.