prestashop 1.5 - 1.6 - 1.7 Sicherheitswarnung für Smarty

[Whiley]

Es gibt eine aktuelle (22.1.2018) Sicherheitswarnung für Smarty

It was discovered that Smarty, a PHP template engine, was vulnerable to code-injection attacks. An attacker was able to craft a filename in comments that could lead to arbitrary code execution on the host running Smarty.

Es siind -zumindest für Debian - Security patches verfügbar:

For the oldstable distribution (jessie), this problem has been fixed in version 3.1.21-1+deb8u1.

For the stable distribution (stretch), this problem has been fixed in version 3.1.31+20161214.1.c7d42e4+selfpack1-2+deb9u1.

Wenn ihr feststellen wollt welche Smarty-Version ihr gerade benutzt könnt ihr in eine tpl Datei (z,B, product.tpl) die display-Anweisung

{$smarty.version}

eingeben und die Produktseite aufrufen.

Grüsse
Whiley

 

 

 

[eleazar]

Das ist noch die Version 3.1.19, kleinere Änderungen der Dev-Version sind auch noch nicht eingearbeitet. Eine andere gibt es von PrestaShop nicht. Da die aktuelle Version 3.1.31 doch sehr stark abweicht, ist wohl an ein einfaches Update nicht zu denken ohne den Shop zu paralysieren.

[eleazar]

Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip

(Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3)

[Claudiocool]

okay, jetzt wird ein Schuh draus, das muss direkt im Shop gemacht werden, ich meine, mich zu erinnern, dass der Smarty Bestandteil von PHP war...

 

[eleazar]

Hast du nicht gelesen, was ich geschrieben habe?  Öffne einfach die Zip-Datei, dann kennst du auch den Pfad.

[Claudiocool]

Logisch habe ich das gelesen, daher wurde ja der Schuh daraus

Ich hatte vor deinem Post auf unserem Server nach irgendwelchen Smarty-Settings gesucht, aber natürlich nichts gefunden... Nach deinem Post war klar, wo die sind, bzw. deine Patches hinmüssen.

[eleazar]

Für diejenigen, die es trotz aller Warnungen mit PrestaShop 1.7 versuchen, hier der Dateipfad für 1.7:

/vendor/prestashop/smarty/sysplugins/

 

[Shad86]

Also ich kann beim Shared Hosting und mit 1.7 leider nicht die Template-Engine sehen, oder muss ich da noch was vorher machen?

Habe deine dateien auf den Server geladen und soweit scheint alles zu laufen. Gibt es was bestimmtes auf was ich achten könnte, was jetzt nicht mehr laufen sollte wenn die Änderungen nicht erfolgreich waren?

[rictools]

On 25.1.2018 at 11:23 PM, eleazar  said:

Hast du nicht gelesen, was ich geschrieben habe?  Öffne einfach die Zip-Datei, dann kennst du auch den Pfad.

Bei mir gibt es aber den im ZIP enthaltenen Ordner "sysplugin" nicht, er heißt "sysplugins" ...

[eleazar]

Ups, da hast du recht. Habe es schnell geändert. Danke für den Hinweis.

[jobybär]

Hallo eleazar,

Am 25.1.2018 um 5:58 PM schrieb  eleazar:

Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip

(Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3)

Habe den Patch bei Presta 1.6.1.10 mit Smarty 3.1.19 eingegeben.
Bekomme jetzt den Hinweiß

Zitat

Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php
[8] Undefined variable: _template

Notice in Zeile 246 der Datei /kunden/569250_87763/webseiten/landmuecke/tools/smarty/sysplugins/smarty_internal_templatecompilerbase.php
[8] Trying to get property of non-object
 

Ist da der Unterstrich am Variablennamen zu viel?
Oder fehlt da ein teil des Variablen namens?

Gruß

Joby