Jump to content

PrestaShop security release


Xavier Borderie

Recommended Posts

In light of a security issue we have been made aware of, today we are releasing several options to secure a store for our users and partners:

  • New versions of PrestaShop 1.4.x and 1.5.x. Version 1.6.1.0 is safe.
  • The Security Patch module for the 1.4, 1.5, and 1.6 branches.
  • Zip files of the changed files for the 1.4, 1.5, and 1.6 branches.
  • Patch files for the latest versions of each branch — 1.4.11.0, 1.5.6.2, and 1.6.0.14.

We strongly advise you to either upgrade your store to the latest version of your current branch which were just released (1.5.6.3 and 1.4.11.1), or to apply the fixes that we are providing (see the links below).

 

Version 1.5.6.3 also fixes 17 other issues: see the changelog here.
Version 1.4.11.1 also fixes 7 other issues: see the changelog here.

 

Please read this whole article carefully. Thank you.

Link to comment
Share on other sites

Von einer Software, die sich gern international gibt, sollte man eigentlich erwarten können, dass solche wichtigen Ankündigungen in der jeweiligen Forensprache erfolgen. Nicht jeder spricht fließend Englisch. :angry:

Ich zitiere mal die Foren-Regeln des Community Managers Xavier du Tertre:

 

 

Respektieren Sie die Forumsprache
PrestaShop vereint Communities weltweit. Die Foren sind deshalb in verschiedene Sprachen aufgeteilt.
Bitte posten Sie in der dem Forum entsprechenden Sprache.

Link to comment
Share on other sites

Hinzu kommt für 1.5x- oder 1.4.0.11-User:

Im Prinzip gäbe es die Möglichkeit eines automatischen Upgrades auf die neue Version, das man wählen kann, wenn man beim 1-Klick Upgrade den Experten-Modus anklickt und die empfohlene Option Upgrade in Rahmen der aktuellen Version auswählt.

 

Im Prinzip ...

 

Denn die Experten bei PrestaShop haben sich da mal wieder selbst ins Knie geschossen, weil das Programm dann automatisch auf den Link (a.s Beispiel 1.5)

https://www.prestashop.com/download/releases/prestashop_1.5.6.3.zip

umschaltet. Den gibt es aber nicht mehr, weil irgendjemand auf die grandiose Idee gekommen ist, die Verzeichnisstruktur auf dem heimischen Server umzubenennen und daher das Update nun hier liegt:

https://www.prestashop.com/download/old/prestashop_1.5.6.3.zip

Stattdessen erreicht man nur:

 

Huch!! Da scheint etwas schiefgelaufen zu sein (Fehler 404).

 

Das gleiche gilt natürlich für 1.4x und selbstverständlich auch den von PrestaShop generierten Link mit der Änderungsliste.

 

Es bleibt also nur der manuelle Download vom Server, der dann auf den eigenen Webspace ins Verzeichnis <adminxxx>/autoupgrade/downloads hochgeladen werden muss.

Edited by eleazar  (see edit history)
  • Like 1
Link to comment
Share on other sites

Hallo eleazar,

 

wir hatten vorgestern selbst hier die wichtigsten Fakten auf Deutsch zusammen getragen:

http://www.shopbetreiber.info/sicherheitsluecke-prestashop-juli-2015/

Du hast natürlich Recht, dass man sich hier etwas mehr Mühe hätte geben können, aber ich denke aufgrund der Dringlichkeit musste das jetzt erst mal auf Englisch raus. Und die meisten Sysadmins sollten das verstehen können, denn fast alle wichtigen Portale, die sich mit Server-Sicherheitslücken beschäftigen sind auch auf Englisch.

In diesem Sinne: Happy Patching :)

 

Viele Grüße

Chris

Link to comment
Share on other sites

Hallo Chris,

 

der Post zur Shopsprache war auch nur eine launige Bemerkung. ^_^

Das eigentliche Problem war, dass sämtliche Updates nicht mehr funktionierten. Aber das hat Gregory Roussac ja jetzt gefixt.

Vielleicht wäre es zukünftig gut, wenn du solche wichtigen Beiträge wie den, den du jetzt verlinkt hast, sofort auch in diesem Forum per Post verlinken würdest.

 

Übrigens müsste der Patch eigentlich nochmal gepatched werden, denn die Dateiversionen des 1.5.6.3-Upgrades vom 31.7. unterscheiden sich z.T. leicht von den von euch geposteten Patches. So fehlt z.B. im AdminLoginController die Zeile 236

Shop::setContext(Shop::CONTEXT_SHOP, (int)min($employee->getAssociatedShops()));

im Rahmen des Admin-Passwort-Updates.

 

Viele Grüße

Rainer

Edited by eleazar  (see edit history)
Link to comment
Share on other sites

  • 2 weeks later...

Von einer Software, die sich gern international gibt, sollte man eigentlich erwarten können, dass solche wichtigen Ankündigungen in der jeweiligen Forensprache erfolgen. Nicht jeder spricht fließend Englisch. :angry:

Ich zitiere mal die Foren-Regeln des Community Managers Xavier du Tertre:

 

Du hast recht. Leider wurde der Blogpost noch nicht übersetzt. Nun ist es!

 

You are right. Sadly, the blogpost was not yet translated. Now, it is!

 

(Es tut mir leid über den Google Translate-Übersetzung: Ich glaube nicht, Englisch zu sprechen.)

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...