« EdeV 2.0 Beta
Presseportal Software »

Wichtiges Sicherheitsupdate EdeV

Wir empfehlen dringend bei allen Versionen folgendenes Sicherheitsupdate durchzuführen:

1.) Öffnen Sie die Datei “prestart.php” im Wurzelverzeichnis Ihrer EdeV Installation mit einem Texteditor wie z.B. Crimson, Notepad++ oder WordPad (Notepad ist ungeeignet, da es keine Unixzeilenumbrüche interpretiert und deswegen keine Zeilenumbrüche darstellt).

2.) Fügen sie folgende Zeilen nach dem “

if (isset($_REQUEST[’TID’]) && strpos($_REQUEST[’TID’], ‘/’) !== false) die(”Invalid value for TID!”);

Der Beitrag wurde am Mittwoch, den 16. Juli 2008 um 09:04 Uhr veröffentlicht und wurde unter Allgemein, EdeV Updates abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

9 Reaktionen zu “Wichtiges Sicherheitsupdate EdeV”

  1. Vademekum
    Am 17. Juli 2008 um 20:43 Uhr

    Hallo Sebastian,

    könntest Du bitte die Stelle im Coding etwas präziser beschreiben ;-) So kann man ja nichts ersetzen. Außerdem würde mich der Grund für das Sicherheitsupdate interessieren.

    Für welche Versionen gilt es? V1.3 V2.0?

    Grüße
    Frank

  2. joerg
    Am 18. Juli 2008 um 03:17 Uhr

    2.) Fügen sie folgende Zeilen nach dem “ …..

    In welcher Zeile soll der Zusatz eingefügt werden ?

  3. frederik
    Am 18. Juli 2008 um 09:59 Uhr

    Da hat Wordpress woh denText etas verstümmelt….

    if (isset($_REQUEST[’TID’]) && strpos($_REQUEST[’TID’], ‘/’) !== false) die(”Invalid value for TID!”);

    muss einfach Anfang der Datei prestart.php eingefügt werden, direkt hinter dem

    “spitze Klammer auf”?php

    in Zeile 1.

    Zu der Sicherheitslücke: Sie basiert darauf das man ein Avatar Bild kann das php Code enthällt. Der Code kann dann über die custom template Funktion ausgeführt werden.

    Zum Patch: Der Patch verhindert das templates außerhalb des custom template Verzeichnisses mit der custom template fuktionalität ausgeführt werden können.

    Zu den betroffen Versionen: So wie ich das bisher überblicke sind alle EdeV Versionen betroffen.

    Mit freundlichen Grüßen

    Frederik Reiß
    McGrip

  4. Bernd Czieschnek
    Am 18. Juli 2008 um 18:35 Uhr

    Hallo
    Habe das versucht und habe den Windows Editor genommen, habe nach der Klammer ”

  5. Bernd Czieschnek
    Am 19. Juli 2008 um 11:21 Uhr

    den geänderten Code eingefügt und habe es anschließend auf den Server überschrieben mit fatalen folgen, sah danach nur noch einen Code Salat.

    Toll wäre es, wenn wir alle eine komplett geänderte prestart.php bekommen könnten mit dem geänderten Code, damit das nicht passieren kann.

    Viele Grüße Bernd

  6. EdeV
    Am 29. Juli 2008 um 16:51 Uhr

    Das ist leider nicht möglich, da die Prestart je nach Version unterschiedliche Inhalte enthält.

  7. Sicherheitslücke in Webkatalog Software EdeV - hohes, prestartphp, Einstellungen Dateien , Größe, Code, Custom, Funktion, Invalid - Frank Beckers - Internet Marketing
    Am 17. Oktober 2008 um 20:36 Uhr

    […] Auf http://www.edev.de/hp/blog/2008/07/16/wichtiges-sicherheitsupdate-edev/ wird ein wichtiges Sicherheitsupdate für alle Versionen der Webkatalog Software EDeV empfohlen. […]

  8. Jan
    Am 10. Februar 2009 um 10:24 Uhr

    Ich hätte erwartet, dass zahlende Kunden eine neue Version downloaden könnten. Das Einfügen der genannten Zeile führt zu syntaktischen Fehlern. Der Umgang mit dieser Sicherheitslücke und der angebotene Fix sind aus meiner Sicht mehr als unprofessionell.

  9. service
    Am 19. Februar 2009 um 09:19 Uhr

    Hallo,

    die gefixte EdeV2 ist seit einem halben Jahr downloadbar für Kunden.
    MFG

Einen Kommentar schreiben