Neu Release 5.2.4 Security Fix!

[hula1499]

Hallo,

@MHillmann wärst du bitte so nett und könntest die Stelle auf gitlab für:

* Security-Fix: Die Version der elfinder Bibliothek wurde angehoben um eine kritische Sicherheitslücke zu schließen. Nach unserem Kenntnisstand ist die Lücke allerdings nur mit einem Backend-Login ausnutzbar.

posten.
Für diejenigen die gern den Security Fix - ohne Update - sofort nachziehen wollen.

 

[MHillmann]

Hallo @hula1499

Wie gesagt wurde die Version von elfinder angehoben: https://gitlab.com/jtl-software/jtl-shop/core/-/merge_requests/3252/diffs
Also entweder ähnliches machen und dann ein composer install im "includes" Ordner oder
Ungetestet: Du könntest dir das entsprechende Paket aus dem Komplettpaket der 5.2.4 holen "includes/vendor/studio-42" und entsprechend in deinem Shop überschreiben.

Der elfinder ist zuständig für den Bildupload, z.B. im Image Portlet im OPC.

Viele Grüße
Michael

 

[hula1499]

Vielen dank, werd ich morgen früh gleich probieren

 

[John]

@MHillmann wieso sind in dem Patch 5.23 > 5.24 (mal wieder) 50% der Shop Dateien enthalten, wenn doch nur so wenige geändert wurden?

Kannst Du nicht mal nachfragen, wieso Ihr das im Patchmanagement beständig nicht hinbekommt, nur auszuliefern, was wirklich nötig ist?

 

[FPrüfer]

Hallo @John, das ist ein schwieriges Thema - gerade wenn sich Abhängigkeiten zu Drittanbieter-Libs geändert haben. Da wir diese Pakete nicht selbst pflegen, wissen wir nie genau was sich dort geändert hat (von uns verwendete Libs können wiederum weitere Abhängigkeiten haben). Um dann keine unvollständigen Abhängigkeiten auszuliefern, enthalten die Patch-Dateien u.a. immer ALLE Abhängigkeiten und damit sehr viel mehr als sich ggfs. tatsächlich geändert hat.

 

[John]

@FPrüfer danke für Deine Antwort aber Du beschreibst ein internes Problem, das ich absolut nachvollziehen kann. Natürlich müßt Ihr Ausliefern, was sich geändert hat.

Aber um die tatsächlichen Änderungen herauszufiltern, gibts doch tolle Tools wie git zum Beispiel - und das mache ich so, weil mir Eure Patches notorisch zu groß sind:

1. Ich habe einen lokalen Installationsordner der Version, die im Zielsystem läuft. (hier z.B. 5.23)
2. Ich mache draus ein lokales git repo
3. Ich extrahiere Eure shop-v5-2-3-to-v5-2-4.zip in den Ordner
4. Ich lasse mir per git nur die tasächlich geänderte Ordnerstruktur exportieren.

Am Beispiel von 5.23 vs 5.24 ergibt das 103 Dateien zusammen 6MB gegenüber Eurer Auslieferung von 5029 Datein zusammen 43MB oder die CSV, die ich hier anhänge.

Ich hab doch damit alle tatsächlichen Änderungen und somit alle Abhängigkeiten. Oder habe ich einen Denkfehler?

 

[OliverS]

Ich bin zwar kein Entwickler, aber: Damit hast du in der Tat nur die tatsächlichen Änderungen, allerdings entweder bezogen auf den Live- Shop oder auf 5.2.3 aus dem Komplettpaket. Je nachdem, wogegen du das vergleichst. Das ist in beiden Fällen okay, aber bei einem Live-Shop musst du bedenken, dass hier zum Beispiel über den PHP-Composer bereits andere Versionen der Drittanbieter-Libraries und Abhängigkeiten installiert sein *könnten*. Je nachdem, was die Kunden damit so anstellen. Wenn wir dann nur die Dateien ausliefern, die sich zwischen unseren Shop-Versionen unterscheiden, endet das unter Umständen in einem Versions-Mischmasch, was die Drittanbieter-Libraries angeht. Und das würde über kurz oder lang Probleme geben.

Deswegen können wir hier nicht nur die geänderten Dateien der Drittanbieter-Libraries ausliefern, weil der eine Live-Shop ggf. mehr Dateien aus dem Patch-Archiv braucht als der andere.

 

[John]

OK, danke für die Erklärung.

Das Szenario, in dem ein Shop in den tiefen Eurer benutzten Komponenten seitens Anwerdern geändert wurde, habe ich noch nicht gehabt.