Kommentare zu: Wichtiges Sicherheitsupdate EdeV

Von: service

Thu, 19 Feb 2009 08:19:19 +0000

Hallo,

die gefixte EdeV2 ist seit einem halben Jahr downloadbar für Kunden.
MFG

Von: Jan

Tue, 10 Feb 2009 09:24:24 +0000

Ich hätte erwartet, dass zahlende Kunden eine neue Version downloaden könnten. Das Einfügen der genannten Zeile führt zu syntaktischen Fehlern. Der Umgang mit dieser Sicherheitslücke und der angebotene Fix sind aus meiner Sicht mehr als unprofessionell.

Von: Sicherheitslücke in Webkatalog Software EdeV - hohes, prestartphp, Einstellungen Dateien , Größe, Code, Custom, Funktion, Invalid - Frank Beckers - Internet Marketing

Fri, 17 Oct 2008 18:36:42 +0000

[…] Auf http://www.edev.de/hp/blog/2008/07/16/wichtiges-sicherheitsupdate-edev/ wird ein wichtiges Sicherheitsupdate für alle Versionen der Webkatalog Software EDeV empfohlen. […]

Von: EdeV

Tue, 29 Jul 2008 14:51:11 +0000

Das ist leider nicht möglich, da die Prestart je nach Version unterschiedliche Inhalte enthält.

Von: Bernd Czieschnek

Sat, 19 Jul 2008 09:21:45 +0000

den geänderten Code eingefügt und habe es anschließend auf den Server überschrieben mit fatalen folgen, sah danach nur noch einen Code Salat.

Toll wäre es, wenn wir alle eine komplett geänderte prestart.php bekommen könnten mit dem geänderten Code, damit das nicht passieren kann.

Viele Grüße Bernd

Von: Bernd Czieschnek

Fri, 18 Jul 2008 16:35:15 +0000

Hallo
Habe das versucht und habe den Windows Editor genommen, habe nach der Klammer ”

Von: frederik

Fri, 18 Jul 2008 07:59:24 +0000

Da hat Wordpress woh denText etas verstümmelt….

if (isset($_REQUEST[’TID’]) && strpos($_REQUEST[’TID’], ‘/’) !== false) die(”Invalid value for TID!”);

muss einfach Anfang der Datei prestart.php eingefügt werden, direkt hinter dem

“spitze Klammer auf”?php

in Zeile 1.

Zu der Sicherheitslücke: Sie basiert darauf das man ein Avatar Bild kann das php Code enthällt. Der Code kann dann über die custom template Funktion ausgeführt werden.

Zum Patch: Der Patch verhindert das templates außerhalb des custom template Verzeichnisses mit der custom template fuktionalität ausgeführt werden können.

Zu den betroffen Versionen: So wie ich das bisher überblicke sind alle EdeV Versionen betroffen.

Mit freundlichen Grüßen

Frederik Reiß
McGrip

Von: joerg

Fri, 18 Jul 2008 01:17:03 +0000

2.) Fügen sie folgende Zeilen nach dem “ …..

In welcher Zeile soll der Zusatz eingefügt werden ?

Von: Vademekum

Thu, 17 Jul 2008 18:43:01 +0000

Hallo Sebastian,

könntest Du bitte die Stelle im Coding etwas präziser beschreiben So kann man ja nichts ersetzen. Außerdem würde mich der Grund für das Sicherheitsupdate interessieren.

Für welche Versionen gilt es? V1.3 V2.0?

Grüße
Frank