Neu Sicherheitslücke in JTL-Shop 4 auch eine Sicherheitslücke in JTL Shop 3.20 (Build 8) ?

[shoppy]

Heute kam ein Newsletter wegen einer Sicherheitslücke Shop 4.0

Nur zur Sicherheit:
Ich nutze noch den Shop 3.20 (Build 8)

Gibt es die Sicherheitslücke auch da? Und wenn ja, welcher Handlungsbedarf ist dann nötig?

Diesen Code $oEntry = Shop:B()->query( gibt es im Shop 3.20 nicht

 

[FPrüfer]

Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.

 

[shoppy]

Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.

@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.

Edit: Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?

 

[FPrüfer]

Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.

Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.

 

[shoppy]

Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.

Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?

 

[301Moved]

@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.

Nur so am Rande: Wie Shop 3.2 ist doch PHP 5.6 ebenso ist doch end of life und bekommt keine Sicherheitsfixes mehr - beides dürfte als veraltet gelten. Das sollte man mutmaßlich auch nicht mehr betreiben und ... (vermute ich?)

 

[FPrüfer]

Für die Unverbesserlichen mit JTL-Shop3.20.8
Dort müsste in /classes/class.JTL- Shop.Redirect.php Zeile 261

$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);

ersetzt werden durch:

$cIP    = $GLOBALS["DB"]->escape($cIP);
$cUrl   = $GLOBALS["DB"]->escape($cUrl);
$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);

Achtung!!! Da ich keinen Shop3 mehr testen kann, erfolgt das auf absolut eigene Gefahr und ohne Garantie das es funktioniert und ausreichend ist!