Whiley Posted January 25, 2018 Share Posted January 25, 2018 Es gibt eine aktuelle (22.1.2018) Sicherheitswarnung für Smarty It was discovered that Smarty, a PHP template engine, was vulnerable to code-injection attacks. An attacker was able to craft a filename in comments that could lead to arbitrary code execution on the host running Smarty. Es siind -zumindest für Debian - Security patches verfügbar: For the oldstable distribution (jessie), this problem has been fixed in version 3.1.21-1+deb8u1. For the stable distribution (stretch), this problem has been fixed in version 3.1.31+20161214.1.c7d42e4+selfpack1-2+deb9u1. Wenn ihr feststellen wollt welche Smarty-Version ihr gerade benutzt könnt ihr in eine tpl Datei (z,B, product.tpl) die display-Anweisung {$smarty.version} eingeben und die Produktseite aufrufen. Grüsse Whiley Link to comment Share on other sites More sharing options...
eleazar Posted January 25, 2018 Share Posted January 25, 2018 Das ist noch die Version 3.1.19, kleinere Änderungen der Dev-Version sind auch noch nicht eingearbeitet. Eine andere gibt es von PrestaShop nicht. Da die aktuelle Version 3.1.31 doch sehr stark abweicht, ist wohl an ein einfaches Update nicht zu denken ohne den Shop zu paralysieren. Link to comment Share on other sites More sharing options...
eleazar Posted January 25, 2018 Share Posted January 25, 2018 Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip (Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3) Link to comment Share on other sites More sharing options...
Claudiocool Posted January 25, 2018 Share Posted January 25, 2018 okay, jetzt wird ein Schuh draus, das muss direkt im Shop gemacht werden, ich meine, mich zu erinnern, dass der Smarty Bestandteil von PHP war... Link to comment Share on other sites More sharing options...
eleazar Posted January 25, 2018 Share Posted January 25, 2018 Hast du nicht gelesen, was ich geschrieben habe? Öffne einfach die Zip-Datei, dann kennst du auch den Pfad. Link to comment Share on other sites More sharing options...
Claudiocool Posted January 26, 2018 Share Posted January 26, 2018 Logisch habe ich das gelesen, daher wurde ja der Schuh daraus Ich hatte vor deinem Post auf unserem Server nach irgendwelchen Smarty-Settings gesucht, aber natürlich nichts gefunden... Nach deinem Post war klar, wo die sind, bzw. deine Patches hinmüssen. Link to comment Share on other sites More sharing options...
eleazar Posted January 27, 2018 Share Posted January 27, 2018 Für diejenigen, die es trotz aller Warnungen mit PrestaShop 1.7 versuchen, hier der Dateipfad für 1.7: /vendor/prestashop/smarty/sysplugins/ Link to comment Share on other sites More sharing options...
Shad86 Posted January 29, 2018 Share Posted January 29, 2018 Also ich kann beim Shared Hosting und mit 1.7 leider nicht die Template-Engine sehen, oder muss ich da noch was vorher machen? Habe deine dateien auf den Server geladen und soweit scheint alles zu laufen. Gibt es was bestimmtes auf was ich achten könnte, was jetzt nicht mehr laufen sollte wenn die Änderungen nicht erfolgreich waren? Link to comment Share on other sites More sharing options...
rictools Posted February 3, 2018 Share Posted February 3, 2018 On 25.1.2018 at 11:23 PM, eleazar said: Hast du nicht gelesen, was ich geschrieben habe? Öffne einfach die Zip-Datei, dann kennst du auch den Pfad. Bei mir gibt es aber den im ZIP enthaltenen Ordner "sysplugin" nicht, er heißt "sysplugins" ... Link to comment Share on other sites More sharing options...
eleazar Posted February 3, 2018 Share Posted February 3, 2018 Ups, da hast du recht. Habe es schnell geändert. Danke für den Hinweis. Link to comment Share on other sites More sharing options...
jobybär Posted April 23, 2019 Share Posted April 23, 2019 Hallo eleazar, Am 25.1.2018 um 5:58 PM schrieb eleazar: Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip (Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3) Habe den Patch bei Presta 1.6.1.10 mit Smarty 3.1.19 eingegeben. Bekomme jetzt den Hinweiß Zitat Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php [8] Undefined variable: _template Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php [8] Trying to get property of non-object Ist da der Unterstrich am Variablennamen zu viel? Oder fehlt da ein teil des Variablen namens? Gruß Joby Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now