en Jump to content

Question

Es gibt eine aktuelle (22.1.2018) Sicherheitswarnung für Smarty

It was discovered that Smarty, a PHP template engine, was vulnerable to code-injection attacks. An attacker was able to craft a filename in comments that could lead to arbitrary code execution on the host running Smarty.

Es siind -zumindest für Debian - Security patches verfügbar:

For the oldstable distribution (jessie), this problem has been fixed in version 3.1.21-1+deb8u1.

For the stable distribution (stretch), this problem has been fixed in version 3.1.31+20161214.1.c7d42e4+selfpack1-2+deb9u1.

Wenn ihr feststellen wollt welche Smarty-Version ihr gerade benutzt könnt ihr in eine tpl Datei (z,B, product.tpl) die display-Anweisung

{$smarty.version}

eingeben und die Produktseite aufrufen.

Grüsse
Whiley

 

 

 

Share this post


Link to post
Share on other sites

9 answers to this question

Recommended Posts

  • 0

Ich habe mal hier den Security Patch für PrestaShop 1.5 - 1.6 erstellt. Den Inhalt der Zip-Datei einfach per FTP in die entsprechende Verzeichnisstruktur hochladen und die beiden betroffenen Dateien damit überschreiben: Smarty_Security_Patch_by_eleazar.zip

(Getestet mit PrestaShop 1.6.1.10 und Prestashop 1.5.6.3)

Share this post


Link to post
Share on other sites
  • 0

Das ist noch die Version 3.1.19, kleinere Änderungen der Dev-Version sind auch noch nicht eingearbeitet. Eine andere gibt es von PrestaShop nicht. Da die aktuelle Version 3.1.31 doch sehr stark abweicht, ist wohl an ein einfaches Update nicht zu denken ohne den Shop zu paralysieren.

Share this post


Link to post
Share on other sites
  • 0

Logisch habe ich das gelesen, daher wurde ja der Schuh daraus :)

Ich hatte vor deinem Post auf unserem Server nach irgendwelchen Smarty-Settings gesucht, aber natürlich nichts gefunden... Nach deinem Post war klar, wo die sind, bzw. deine Patches hinmüssen.

Share this post


Link to post
Share on other sites
  • 0

Für diejenigen, die es trotz aller Warnungen mit PrestaShop 1.7 versuchen, hier der Dateipfad für 1.7:

/vendor/prestashop/smarty/sysplugins/

 

Share this post


Link to post
Share on other sites
  • 0

Also ich kann beim Shared Hosting und mit 1.7 leider nicht die Template-Engine sehen, oder muss ich da noch was vorher machen?

Habe deine dateien auf den Server geladen und soweit scheint alles zu laufen. Gibt es was bestimmtes auf was ich achten könnte, was jetzt nicht mehr laufen sollte wenn die Änderungen nicht erfolgreich waren?

Share this post


Link to post
Share on other sites
  • 0
On 25.1.2018 at 11:23 PM, eleazar  said:

Hast du nicht gelesen, was ich geschrieben habe?  Öffne einfach die Zip-Datei, dann kennst du auch den Pfad.

Bei mir gibt es aber den im ZIP enthaltenen Ordner "sysplugin" nicht, er heißt "sysplugins" ...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More