Neu Sicherheitslücke in JTL-Shop 4 auch eine Sicherheitslücke in JTL Shop 3.20 (Build 8) ?

shoppy

Sehr aktives Mitglied
18. November 2007
416
36
Heute kam ein Newsletter wegen einer Sicherheitslücke Shop 4.0

Nur zur Sicherheit:
Ich nutze noch den Shop 3.20 (Build 8)

Gibt es die Sicherheitslücke auch da? Und wenn ja, welcher Handlungsbedarf ist dann nötig?

Diesen Code $oEntry = Shop::DB()->query( gibt es im Shop 3.20 nicht
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.652
408
Halle
Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.
 

shoppy

Sehr aktives Mitglied
18. November 2007
416
36
Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.
@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.

Edit: Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.652
408
Halle
Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.
Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.
 

shoppy

Sehr aktives Mitglied
18. November 2007
416
36
Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.
Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?
 

vekoop

Sehr aktives Mitglied
19. Juli 2013
801
123
@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.
Nur so am Rande: Wie Shop 3.2 ist doch PHP 5.6 ebenso ist doch end of life und bekommt keine Sicherheitsfixes mehr - beides dürfte als veraltet gelten. Das sollte man mutmaßlich auch nicht mehr betreiben und ... (vermute ich?)
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.652
408
Halle
Für die Unverbesserlichen mit JTL-Shop3.20.8
Dort müsste in /classes/class.JTL- Shop.Redirect.php Zeile 261
PHP:
$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);
ersetzt werden durch:
PHP:
$cIP    = $GLOBALS["DB"]->escape($cIP);
$cUrl   = $GLOBALS["DB"]->escape($cUrl);
$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);
Achtung!!! Da ich keinen Shop3 mehr testen kann, erfolgt das auf absolut eigene Gefahr und ohne Garantie das es funktioniert und ausreichend ist!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: shoppy
Ähnliche Themen
Titel Forum Antworten Datum
Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf JTL-Shop - Fehler und Bugs 161
Neu Java-Sicherheitslücke log4j - JTL-Lösungen nicht betroffen News, Events und Umfragen 3
Neu Email von Amazon-Pay bezüglich der Sicherheitslücke Betrieb / Pflege von JTL-Shop 2
Neu JTL Ameise Import Kundengruppenpreise nur teilweise!! JTL-Ameise - Fehler und Bugs 1
Neu Installation von JTL-Shop (gehostet bei JTL) Installation / Updates von JTL-Shop 2
Neu JTL Ameise - Bestandsexport für Buchhaltung (Artikeldatenexport) JTL-Ameise - Ideen, Lob und Kritik 1
Neu Fehler beim Abgleich mit JTL-Shop JTL-Wawi - Fehler und Bugs 2
Neu JTL Wawi 1.6 - Zahlung manuell buchen - Zahldatum setzen vor Erfassung + Skonto JTL-Wawi - Ideen, Lob und Kritik 0
Webinar: Unser neues Shopware5-Plugin für das JTL-Fulfillment Network inklusive Live-Demonstration Messen, Stammtische und interessante Events 0
Webinar: Page-Speed-Optimierung für JTL-Shop 5 Messen, Stammtische und interessante Events 0
Neu Wawi 1.6.33.1 Bilddarstellung Kinderartikel im Shop5 JTL fehlerhaft JTL-Wawi - Fehler und Bugs 0
Neu TestShop Hosting - Abgleich von JTL zum Shop HTTP Error: 502 Allgemeine Fragen zu JTL-Shop 1
Neu JTL Shop 5 Exportvorlage für Facebook Allgemeine Fragen zu JTL-Shop 6
Neu JTL-Wawi 1.6.33.1 im betrieb mit 2 Firmen wird eine nicht gefiltert. JTL-Wawi - Fehler und Bugs 0
Neu SyncException: 3 Nach update von JTL Shop 4 auf 5 , KEINE ANBINDUNG mehr möglich. HILFE Onlineshop-Anbindung 6
Neu Übertragen von zusätzlichen Feldern an JTL-WAWI aus WooCommerce Bestellung WooCommerce-Connector 0
Beantwortet JTL-Wawi 1.6.33.1 - nach Komplettabgleich Merkmale im Shop weg JTL-Wawi - Fehler und Bugs 2
Neu Welchen Server für JTL Shop 5 ? User helfen Usern - Fragen zu JTL-Wawi 12
Neu Fehler beim installieren von JTL Software Edition JTL-Wawi - Fehler und Bugs 0
Neu JTL Konfigurator - Lagerbestand bei Artikel Allgemeine Fragen zu JTL-Shop 4
Neu JTL-Wawi in Windows-Sandbox User helfen Usern - Fragen zu JTL-Wawi 1
Neu Shopify Store mit JTL Individuelle Listenansichten in der JTL-Wawi 6
Neu Marktplatz Amazon.com JTL EA User helfen Usern - Fragen zu JTL-Wawi 8
Neu Bilder-Slider auf Startseite JTL Shop 5 Punktnavigation / Pfeilnavigation Betrieb / Pflege von JTL-Shop 0
Neu Gambio Connector, JTL WAWI und Gambio EU-Steuersätze Modul - PROBLEM mit EU Standardsteuersatz Gambio-Connector 4
JTL Shop 5: Wunschzettel im Kundenkonto ausblenden Einrichtung JTL-Shop5 2
Neu JTL Wawi 1.5.53.0 online nicht mehr verfügbar JTL-Wawi - Fehler und Bugs 1
Neu Nach Update auf JTL-Wawi 1.6.33.1 - Fehler beim Onlineshopabgleich JTL-Wawi - Fehler und Bugs 4
Neu Gambio Connector, JTL WAWI und Gambio EU-Steuersätze Modul Onlineshop-Anbindung 0
JTL-SHOP 5.1.1 - Die Plugin-ID ist bereits in der Datenbank vorhanden (FEHLERCODE 90) Upgrade JTL-Shop4 auf JTL-Shop5 2
Neu Ein Kollege kann eine Bestellung in JTL WaWi nicht übernehmen JTL-Wawi - Fehler und Bugs 1
Neu Plugin Bonuspunkte Treuepunkte für JTL 5 Plugins für JTL-Shop 0
Neu JTL Fulfillment Artikel User helfen Usern - Fragen zu JTL-Wawi 5
Neu Achtung! Wichtige Umstellung für JTL-eazyAuction-Nutzer! Amazon-Anbindung - Fehler und Bugs 9
Installationsanleitung JTL-Shop in Unterverzeichnis Einrichtung JTL-Shop5 1
Neu DHL Wunschpaket Plugin für JTL Shop 5.0 lässt sich nicht installieren Plugins für JTL-Shop 2
Neu JTL Connector zu Shopware 6 gibt Fehler aus Shopware-Connector 2
Neu EBAY ANGEBOTE VERKNÜPFUNG LÖSEN OHNE DIE ANGEBOTE IN EBAY ODER JTL ZU LÖSCHEN eBay-Anbindung - Ideen, Lob und Kritik 0
Gelöst Absturz JTL-Pos mit Sunmi D2 Mini beim Bon-Druck Version 1.0.5.18 (4409) JTL-POS - Fehler und Bugs 4
Neu Adressverwaltung / CRM bei JTL geplant JTL-Wawi - Ideen, Lob und Kritik 3
Neu Kann man in JTL 5 verlinkte Shopable-Bilder einstellen? Allgemeine Fragen zu JTL-Shop 0
Neu JTL-WaWi - Variationen mit eigenen Bilder Beschreibungen ? User helfen Usern - Fragen zu JTL-Wawi 12
Neu JTL-Shop 5.1.1 mit JTL-Wawi 1.6.33.1 Onlineshop-Anbindung 6
Beantwortet JTL Workflow Versand Email Zustellinfo JTL-Workflows - Fehler und Bugs 1
Gelöst JTL POS stürzt beim Starten ab und Zeigt Fehler: JTL POS muss beendet werden 1.0.5.17 (4390) JTL-POS - Fehler und Bugs 4
Neu JTL WaWi Workflows Versand Sendestatus User helfen Usern - Fragen zu JTL-Wawi 10
Gelöst Fehler: Sie besitzen keine Lizenz für JTL-WMS JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 1
Neu JTL WAWI Update 1.46x auf 1.48x Installation von JTL-Wawi 2
JTL Update nach Plugin aktivierung ist der admin bereich weiß Upgrade JTL-Shop4 auf JTL-Shop5 1
Neu JTL Shop 5 - Cronjob funktioniert nicht im Wartungsmodus JTL-Shop - Fehler und Bugs 0

Ähnliche Themen