BGsys.dk

[anders]

Godaften...

Er jeg den eneste der har modtaget en advarsel fra One.com idag vedr. en sikkerhedshul i oscommerce vedr. filerne: file_manager.php og
mail.php ?

- Anders

[Catch]

hej. Hvad lyder den på, kan du liste den her?

[anders]

Kære Anders Holm

Du modtager denne e-mail, da vi har fundet et sikkerhedshul i et script
installeret på dit webhotel.
Hvis du har brug for hjælp til at løse problemer, kontakt da venligst
vores support på support@one.com
Webshop-scriptet osCommerce som du har installerer på dit webhotel, har
et sikkerhedshul. Siden den seneste version af osCommerse også har
sikkerhedshullet, er det nødvendigt at ændre koden manuelt. Da du har
uploadet filerne, vil vi ikke ændre i filerne for dig.

To filer i osCommerces /Admin/ mappe skal ændres: file_manager.php og
mail.php
I begge tilfælde, skal denne linje:
require('includes/application_top.php');
ændres til:
require('includes/application_top.php');
if (!tep_session_is_registered('admin')) { die('Not allowed!'); }

Som en ekstra sikkerhed, beder vi dig adgangsbeskytte /admin/ med
.htaccess. Vi har en guide til dette på
http://one-docs.com/tools/htaccess/.
Foretag venligst de ovenstående ændringer så hurtigt som muligt, da vi
ellers ser os nødsaget til at suspendere dine tjenester hos One.com.

Med venlig hilsen
One.com

[agentjensen]

Det er ikke nyt at de 2 filer er genstand for stor risiko - der er flere indlæg herinde omdet og på modersiden.
jeg har faktisk skrevet et indlæg om hvordan du sikre din shop.

Men det er nyt for mig at det kan fikses så nemt

anbefaling - få dog rettet det de skriver

AgentJensen

[Catch]

Hvis man ikke har modtaget sådan en mail, skal man alligevel lave de ændringer?
Er det en god idé?

[agentjensen]

JAAAAAAAAA !!!!!
Selvfølgelig. Det er en generel svaghed i oscommerce.

Så gør det dog - det er nemt og ligetil

/AgentJensen

[anders]

Agentjensen:

Har du et link til det indlæg om sikkerhed ?

[agentjensen]

Hmmm - har kigget efter det....???

Men om ikke andet står der en del i dette indlæg:
viewtopic.php?f=1&t=9119

men mener også at andre har lavet noget brugbart.
Olby har fornyligt skrevet lige netop om dette emne - prøv at søge lidt.

/agentJensen

[kelderkold]

Jeg har ikke fået den Anders, jeg har flere shops placeret på one.com servere
Men jeg har (igår) lavet de ændringer one foreslår.
meeeen så kommer problemerne først, da jeg bruger unique free er der noget FCK editor indbygget og der har jeg brugt smileys forskellige steder på shoppen og da FCKeditoren eller smileys ligger i kontrolpanelet kommer der en boks op og beder om password på de sider hvor der er en smiley
så lige nu har jeg fjernet password beskyttelsen (.htpasswd)