Wichtiges Sicherheitsupdate EdeV

Wir empfehlen dringend bei allen Versionen folgendenes Sicherheitsupdate durchzuführen:

1.) Öffnen Sie die Datei “prestart.php” im Wurzelverzeichnis Ihrer EdeV Installation mit einem Texteditor wie z.B. Crimson, Notepad++ oder WordPad (Notepad ist ungeeignet, da es keine Unixzeilenumbrüche interpretiert und deswegen keine Zeilenumbrüche darstellt).

2.) Fügen sie folgende Zeilen nach dem “

if (isset($_REQUEST[’TID’]) && strpos($_REQUEST[’TID’], ‘/’) !== false) die(”Invalid value for TID!”);

9 Reaktionen zu “Wichtiges Sicherheitsupdate EdeV”

  1. Vademekum

    Hallo Sebastian,

    könntest Du bitte die Stelle im Coding etwas präziser beschreiben ;-) So kann man ja nichts ersetzen. Außerdem würde mich der Grund für das Sicherheitsupdate interessieren.

    Für welche Versionen gilt es? V1.3 V2.0?

    Grüße
    Frank

  2. joerg

    2.) Fügen sie folgende Zeilen nach dem “ …..

    In welcher Zeile soll der Zusatz eingefügt werden ?

  3. frederik

    Da hat Wordpress woh denText etas verstümmelt….

    if (isset($_REQUEST[’TID’]) && strpos($_REQUEST[’TID’], ‘/’) !== false) die(”Invalid value for TID!”);

    muss einfach Anfang der Datei prestart.php eingefügt werden, direkt hinter dem

    “spitze Klammer auf”?php

    in Zeile 1.

    Zu der Sicherheitslücke: Sie basiert darauf das man ein Avatar Bild kann das php Code enthällt. Der Code kann dann über die custom template Funktion ausgeführt werden.

    Zum Patch: Der Patch verhindert das templates außerhalb des custom template Verzeichnisses mit der custom template fuktionalität ausgeführt werden können.

    Zu den betroffen Versionen: So wie ich das bisher überblicke sind alle EdeV Versionen betroffen.

    Mit freundlichen Grüßen

    Frederik Reiß
    McGrip

  4. Bernd Czieschnek

    Hallo
    Habe das versucht und habe den Windows Editor genommen, habe nach der Klammer ”

  5. Bernd Czieschnek

    den geänderten Code eingefügt und habe es anschließend auf den Server überschrieben mit fatalen folgen, sah danach nur noch einen Code Salat.

    Toll wäre es, wenn wir alle eine komplett geänderte prestart.php bekommen könnten mit dem geänderten Code, damit das nicht passieren kann.

    Viele Grüße Bernd

  6. EdeV

    Das ist leider nicht möglich, da die Prestart je nach Version unterschiedliche Inhalte enthält.

  7. Sicherheitslücke in Webkatalog Software EdeV - hohes, prestartphp, Einstellungen Dateien , Größe, Code, Custom, Funktion, Invalid - Frank Beckers - Internet Marketing

    […] Auf http://www.edev.de/hp/blog/2008/07/16/wichtiges-sicherheitsupdate-edev/ wird ein wichtiges Sicherheitsupdate für alle Versionen der Webkatalog Software EDeV empfohlen. […]

  8. Jan

    Ich hätte erwartet, dass zahlende Kunden eine neue Version downloaden könnten. Das Einfügen der genannten Zeile führt zu syntaktischen Fehlern. Der Umgang mit dieser Sicherheitslücke und der angebotene Fix sind aus meiner Sicht mehr als unprofessionell.

  9. service

    Hallo,

    die gefixte EdeV2 ist seit einem halben Jahr downloadbar für Kunden.
    MFG

Einen Kommentar schreiben