Laut verschiedenen Berichten der letzten Tage gibt es eine Sicherheitslücke (Beispiel rackspeed) bei allen Magento Versionen von 1.4 bis 1.7.
Und zwar ist die Datei images.php im Ordner app/code/core/Mage/Cms/Helper/Wysiwyg anfällig.
Es gibt mehrere Möglichkeiten die Datei zu patchen. Über SSH oder auch über FTP. Wir wollen uns der Möglichkeit widmen die Datei über FTP zu patchen.
- Zuerst wird die Datei images.php aus dem o.g. Verzeichnis geöffnet.
- Dann die Stelle public function getCurrentPath() suchen
- Den Bereich
if (!$this->_currentPath) { $currentPath = $this->getStorageRoot(); $path = $this->_getRequest()->getParam($this->getTreeNodeName()); if ($path) { $path = $this->convertIdToPath($path); if (is_dir($path)) { $currentPath = $path; } }
durch diesen ersetzen
if (!$this->_currentPath) { $currentPath = realpath($this->getStorageRoot()); $node = $this->_getRequest()->getParam($this->getTreeNodeName()); if ($node) { $path = realpath($this->convertIdToPath($node)); if (is_dir($path) && false !== stripos($path, $currentPath)) { $currentPath = $path; } }
- Hochladen und Caches löschen.
- Nun sollte die Lücke geschlossen sein
- Übrigens unterscheidet sich die Datei in den Magento Versionen 1.4-1.7 soweit wir das sehen konnten nur durch das Copyright Datum. Es kann also ein und dieselbe images.php für alle Magento Versionen eingesetzt werden.
Selbstverständlich übernehmen wir keine Gewähr für die Richtigkeit der Angaben. Diese wiederholen und vereinfachen nur die Angaben anderer Quellen. Die Änderungen sollten auf jeden Fall zuerst in Testumgebungen eingesetzt werden.
Genutzt in Magento Versionen 1.4.1.1 bis 1.7.0.2.. Fragen, Kommentare, Anregungen? Gerne!