Jump to content

Sicherheitswarnung für Smarty


Whiley

Recommended Posts

Es gibt eine aktuelle (22.1.2018) Sicherheitswarnung für Smarty

It was discovered that Smarty, a PHP template engine, was vulnerable to code-injection attacks. An attacker was able to craft a filename in comments that could lead to arbitrary code execution on the host running Smarty.

Es siind -zumindest für Debian - Security patches verfügbar:

For the oldstable distribution (jessie), this problem has been fixed in version 3.1.21-1+deb8u1.

For the stable distribution (stretch), this problem has been fixed in version 3.1.31+20161214.1.c7d42e4+selfpack1-2+deb9u1.

Wenn ihr feststellen wollt welche Smarty-Version ihr gerade benutzt könnt ihr in eine tpl Datei (z,B, product.tpl) die display-Anweisung

{$smarty.version}

eingeben und die Produktseite aufrufen.

Grüsse
Whiley

 

 

 

Link to comment
Share on other sites

  • Whiley pinned this topic

Das ist noch die Version 3.1.19, kleinere Änderungen der Dev-Version sind auch noch nicht eingearbeitet. Eine andere gibt es von PrestaShop nicht. Da die aktuelle Version 3.1.31 doch sehr stark abweicht, ist wohl an ein einfaches Update nicht zu denken ohne den Shop zu paralysieren.

Link to comment
Share on other sites

Also ich kann beim Shared Hosting und mit 1.7 leider nicht die Template-Engine sehen, oder muss ich da noch was vorher machen?

Habe deine dateien auf den Server geladen und soweit scheint alles zu laufen. Gibt es was bestimmtes auf was ich achten könnte, was jetzt nicht mehr laufen sollte wenn die Änderungen nicht erfolgreich waren?

Link to comment
Share on other sites

  •  eleazar unpinned this topic
  • 2 months later...

Hallo eleazar,

Am 25.1.2018 um 5:58 PM schrieb  eleazar:

Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip

(Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3)

Habe den Patch bei Presta 1.6.1.10 mit Smarty 3.1.19 eingegeben.
Bekomme jetzt den Hinweiß

Zitat

Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php
[8] Undefined variable: _template

Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php
[8] Trying to get property of non-object
 

Ist da der Unterstrich am Variablennamen zu viel?
Oder fehlt da ein teil des Variablen namens?

Gruß

Joby

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...