Sicherheitsupdates für Magento 1.4, 1.6 und 1.7

mag_patch_12-2013

Für die Magento-Versionen 1.4, 1.6 und 1.7 wurde am 11. Dezember von Magento ein Sicherheitsupdate veröffentlicht. Der Fehler korrigiert einen Bug über den, mittels angepasster Anfrage, beliebige Dateien über den WYSIWYG-Controller gelesen werden können. Der Fehler ist als kritisch einzustufen, sodass der Patch unbedingt eingespielt werden muss.

Zusätzlich informiert Magento alle Shop-Betreiber proaktiv über eine Hinweis-Meldung in der Administration.

Ein Problem – eine Lösung

Im Blog von Christian Münch wird allerdings auf ein Problem hingewiesen, das nach dem Update auftreten kann. „Wird das Media-Verzeichnis über einen Symlink eingebunden, was bei größeren Shop-Installationen durchaus üblich ist, dann funktioniert der Dateibrowser im Wysiwyg-Editor nicht mehr. […] Das Problem liegt im Verzeichnisvergleich mit und einmal ohne die PHP Funktion [code]]czo4OlwicmVhbHBhdGhcIjt7WyYqJl19[[/code].“ so Münch in seinem Blog. Ebenso gibt er einen Lösungsvorschlag um das Problem zu beheben. Dazu muss lediglich eine Funktion ausgetauscht werden:

  • Original Datei aus dem core Codepool nach local kopieren.
  • Methode convertIdToPath mit der unten genannten austauschen:
class Mage_Cms_Helper_Wysiwyg_Images extends Mage_Core_Helper_Abstract
{
//....

/**
* Decode HTML element id
*
* @param string $id
* @return string
*/
public function convertIdToPath($id)
{
/*$path = $this->idDecode($id);
if (!strstr($path, $this->getStorageRoot())) {
$path = $this->getStorageRoot() . $path;
}
return $path;*/
/**
* CORE PATCH BY netz98 new media GmbH
*
* Problems with Symlinks after security patch by Magento
*/
// BEGIN OF PATCH
$path = $this->idDecode($id);
if (!strstr($path, realpath($this->getStorageRoot()))) {
$path = realpath($this->getStorageRoot()) . $path;
}
// END OF PATCH
return $path;
}

//....
}

Vielen Dank an Christian Münch für den Hinweis und das Bereitstellen einer Lösung!

Autor

Sebastian
Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.

3 Kommentare zu “Sicherheitsupdates für Magento 1.4, 1.6 und 1.7

  • 7. Januar 2014 um 13:46
    Permalink

    Das wird wieder schön anstrengend…
    Naja was solls, Sicherheit geht vor!
    Danke für den gegebenen Quellcode, Super Sache 🙂

    Grüße Richard

    Antwort
  • 13. Januar 2014 um 01:50
    Permalink

    Besten Dank für den Quellcode.
    Ich vergesse immer wieder die Aktualisierung

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA

*