Von: Christian Rothe
Was soll das Heckmeck mit dem Patch? Im Prinzip würde es schon reichen, zwei Zeilen zu tauschen in der 'application_top.php' im Ordner '/admin/includes': Suche die Originalzeile:...
View ArticleVon: Ralf Zimmermann
Hallo Christian, das stimmt, die von dir beschriebene Version hatte ich auch den Entwicklern als Patch vorgeschlagen. Gambio hat das dann aber mit einer etwas anderen Lösung umgesetzt und ich habe das...
View ArticleVon: Stephan
…mal abgesehen davon, dass die Behandlung von $_SERVER[‘PHP_SELF’] oder $_SERVER[‘SCRIPT_FILENAME’] mittels split(), explode() oder preg_split() ziemlich sinnfrei ist, da in beiden Variablen nie ein...
View ArticleVon: Nonito Capuno (Gambio)
Wir haben die Erfahrung gemacht, dass es Server gibt, auf denen SCRIPT_NAME nicht gesetzt ist. Dies ist ein extrem selten auftretender Fall, aber es kommt eben schon mal vor – gerade in Umgebungen, in...
View ArticleVon: Jörg
Ich habe Gambio GX im Einsatz. Leider konnte ich nicht erfolgreich die beiden application_top.php-Dateien von Gambio nehmen. Damit war kein Login mehr im Adminmenü möglich. Dank eurer Hilfe hab ich...
View ArticleVon: Basti
Hallo an alle… gint es denn ne Möglichkeit, dass man nach Einspielen des Patches “Sich selbst” mal testen kann? Ich mein, nur die Zeilen tauschen/ersetzen ist eine Sache, ob die Sache danach gestopft...
View ArticleVon: Ralf Zimmermann
Hallo Basti, bitte habe Verständnis, dass ich Details zur Lücke erst in ein paar Tagen veröffentlichen werde um Anderen noch Zeit zum patchen zu geben. Wenn Du die Anweisungen zum Patchen aber befolgt...
View ArticleVon: wemheuer
Da meine Zeile in der application_top.php etwas anders aussieht, eine Verständnisfrage: das Austauschen von PHP_SELF gegen SCRIPT_FILENAME behebt die Sicherheitslücke?
View ArticleVon: Kloputze
Hallo zusammen. ich habe das grade bei XTC Modified nachgeguckt, weil es immer heißt, dass dort diese Sicherheitslücke bereits ab 1.05 geschlossen ist. Bei xtc modified 1.05 SP1b finde ich ebenfalls...
View ArticleVon: Kloputze
habs gefunden … offiziell wurde die lücke am 26.11.2010 geschlossen, irgendwie war die sicherheitslücke aber trotzdem in mehreren onlineshops, welche ich im letzten jahr neu aufgesetzt (download bei...
View Article
