Mag-tutorials.de

Sicherheitsupdates für Magento 1.4, 1.6 und 1.7

mag_patch_12-2013

Für die Magento-Versionen 1.4, 1.6 und 1.7 wurde am 11. Dezember von Magento ein Sicherheitsupdate veröffentlicht. Der Fehler korrigiert einen Bug über den, mittels angepasster Anfrage, beliebige Dateien über den WYSIWYG-Controller gelesen werden können. Der Fehler ist als kritisch einzustufen, sodass der Patch unbedingt eingespielt werden muss.

Zusätzlich informiert Magento alle Shop-Betreiber proaktiv über eine Hinweis-Meldung in der Administration.

Ein Problem – eine Lösung

Im Blog von Christian Münch wird allerdings auf ein Problem hingewiesen, das nach dem Update auftreten kann. „Wird das Media-Verzeichnis über einen Symlink eingebunden, was bei größeren Shop-Installationen durchaus üblich ist, dann funktioniert der Dateibrowser im Wysiwyg-Editor nicht mehr. […] Das Problem liegt im Verzeichnisvergleich mit und einmal ohne die PHP Funktion realpath.“ so Münch in seinem Blog. Ebenso gibt er einen Lösungsvorschlag um das Problem zu beheben. Dazu muss lediglich eine Funktion ausgetauscht werden:

class Mage_Cms_Helper_Wysiwyg_Images extends Mage_Core_Helper_Abstract
{
//....

/**
* Decode HTML element id
*
* @param string $id
* @return string
*/
public function convertIdToPath($id)
{
/*$path = $this->idDecode($id);
if (!strstr($path, $this->getStorageRoot())) {
$path = $this->getStorageRoot() . $path;
}
return $path;*/
/**
* CORE PATCH BY netz98 new media GmbH
*
* Problems with Symlinks after security patch by Magento
*/
// BEGIN OF PATCH
$path = $this->idDecode($id);
if (!strstr($path, realpath($this->getStorageRoot()))) {
$path = realpath($this->getStorageRoot()) . $path;
}
// END OF PATCH
return $path;
}

//....
}

Vielen Dank an Christian Münch für den Hinweis und das Bereitstellen einer Lösung!

Rate this post

Autor

Sebastian

Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.
Die mobile Version verlassen