SQL Injection welche Versionen betroffen? Einstellungen

[sun.go]

Hallo,

In der Version 1.6.1 gab es ja ein Problem mit eventueller Gefahr durch SQL Injection.

Siehe auch hier:

http://www.exploit-db.com/exploits/35972/


Meine Frage nun:

Da ich noch 2 umfangreiche Projekte mit dem eingestellten Version 2 Beta 1.93 laufen habe, interssiert es mich, ob der Exploit auch dort vorkommt und wie es am Einfachsten ist, zu 1.6.2 zu migrieren. Das eine Projekt besteht aus ca 200 Frontentseiten und ca 1000 Bilder etc.
Hauptproblem sehe ich in der veränderten Ordnerstruktur mit dem /project01/ - Hauptordner.

Gibt es da ein Workaround? Früher oder später werde ich wohl sowieso nicht drum rum kommen, nur jetzt auf der Stelle wäre mir das zu viel Arbeit in zu wenig verfügbarer Zeit!!!

[sidd]

... warte lieber noch bis zur 1.6.3 ...

was heisst veränderte ordnerstruktur?

[sun.go]

In den 1.9x Versionen wurde der /projekt01/ Ordner entfernt und somit sind relative Links zu /media/ etc nicht kompatibel

[sidd]

Wg. SQL-Injections sende mir mal per PN nur die URL zu deinem Backend, dann kann ich schauen, ob deine Version auch davon betroffen ist.

[bkm]

Wg. SQL-Injections sende mir mal per PN nur die URL zu deinem Backend, dann kann ich schauen, ob deine Version auch davon betroffen ist.

Gibst bestimmt schon (immer) ewig.

[sidd]

Ich konnte mitlerweile auch nachschauen. in der version 1.9x ist der fehler ebenfalls enthalten

[mvsxyz]

@sun.go: In diesem Fall bleibt dir nur die Möglichkeit die Commits nachzuverfolgen und die betreffenden Stellen in der Version 1.9.x nach zu ziehen. Alle Änderungen haben sich bisher auf die Dateien, insbesondere die SQL-Queries, beschränkt.

[sun.go]

Ist die Version 1.6.2 nun ein guter Rat zu installieren, oder sollte ich noch warten?

Wann gibt es eine 1.6.3 und ist diese dann besser ?

[sidd]

@sun.go sende mir mal deine mailadresse, ich schicke dir dann, die angepassten daten für 1.9.x

[sun.go]

1.6.3 ist draußen - eines meiner 5...6 Projekte die mit 1.6x laufen wurde bereits aktualisiert.

Super Arbeit hier!!!!

Kann man nicht oft genug sagen. Leider fehlt mir das Hirn und die Zeit um auch tiefer in die Entwicklung einzusteigen und mitzuwirken.

[oberbilker]

hallo zusammen,

ist ja eine gute quote, nach all den jahren der erste exploit. wenn ich da so an andere cms (joomla) bei bekannten denke..
ist den definitiv nur die 1.6.1 betroffen, oder wie bkm vermutet, in allen alten versionen auch?
falls dem so ist, können diese gepatcht werden (wenn ja, welche dateien sind betroffen?), oder gibt es nur den weg über ein update?

gruss, oberbilker

[sidd]

hallo oberbiker,

generell kannst du die änderungen in github nachverfolgen und nach und nach die codezeilen ändern, aber für die zukunft wäre es naturlich besser, wenn du den weg übers update nimmst.

betroffene versionen <1.6.3

Wer noch D*DI irgendwo einsetzt, ist höchstwahrscheinlich auch betroffen!

Der Beitrag wurde von sidd bearbeitet: Thu. 5. February 2015, 18:15

[sun.go]

hallo oberbiker,

generell kannst du die änderungen in github nachverfolgen und nach und nach die codezeilen ändern, aber für die zukunft wäre es naturlich besser, wenn du den weg übers update nimmst.

betroffene versionen <1.6.3

Wer noch D*DI irgendwo einsetzt, ist höchstwahrscheinlich auch betroffen!

D*DI - damit hab ich vor 8 oder 9 Jahren angefangen ... wow. Meinste da laufen noch welche ?

Ich hab den Patch drinn und es lauft alles soweit.

Trotzdem hab ich eine zweite 1.6.3 Installation nun auf den Weg gebracht, in die ich meine Seite die betroffen ist langsam aber sicher rüber rette. Die Sache mit der 1.9er Sackgasse wird mir dann doch zu heiß und nicht immer hat man so einen freundlichen Kollegen wie Dich zur Hand, der die Sache schnell mal fixt...

1000 Dank noch mal, das verschafft mit die nötige Zeit ohne Angst zu arbeiten