Virtuemart 3.8.6 wird nicht bei Aktualisierungen angezeigt

  • Hallo zusammen,


    es gibt ja mittlerweile die VM-Version 3.8.6. Diese wird mir in Joomla unter Aktualisierungen nicht angezeigt. Daher habe ich es auch erst jetzt gesehen.


    Kann mir jemand sagen, ob es einen Grund dafür gibt, dass das kein One-Click-Update ist?


    Muss VM neu installiert werden? Ist das im Produktivsystem ok?


    Mir geht es eigentlich nur um die XSS-Lücke. Es heisst ja, dass diese Lücke im Hersteller-Dropdown ist. Wenn dieses Dropdown nicht verwendet wird, ist das dann auch ohne Fix sicher?


    Verwendete Versionen:

    PHP: 7.3

    Joomla: 3.9.22

    VM: 3.8.4 10335


    Vielen Dank für Eure Antworten.


    Beste Grüße

    Dirk

  • Servus,


    bisher sind die xml-Dateien für die Update-Benachrichtigung noch nicht online.

    Max wird das bald erledigen, dann kann man auch per Knopfdruck aktualisieren.

    Ansonsten findet man die Dateien auch auf

    http://dev.virtuemart.net/projects/virtuemart/files


    Ich empfehle, das Update in beiden Fällen weiterhin nach der Reihenfolge:

    1. VirtueMart Core

    2. VirtueMart AIO

    3. TCPDF (nicht immer, ABER diesmal erforderlich, da Update von 1.0.8 auf 1.0.9)

    zu machen, und jedesmal die erfolgreiche Installationsmeldung abzuwarten. Nicht alles anhaken und alles auf einmal.


    UND vor allen Dingen nicht ohne Backup und in höher frequentierten Shops auch nicht zuerst auf der Live-Seite, sondern dann immer erst in einer Spiegelung.

    Ich gehe fast immer über eine Testinstallation! (Außer bei meinen eigenen einfachen Shops :-)

    Wer damit leben kann, dass evtl. ein Backup zurückgesetzt werden muss (das man vorher auf Konsistenz getestet hat) und der Shop eine Weile ausfällt, der kann auch das Risiko eingehen.

    Das ist persönliches Risikomanagement.


    Grüße

    Stefan

  • Vielen Dank für deine Antwort.


    Aufgrund von Zeitmangel wäre es mir tatsächlich lieber das Update erst nach Weihnachten einzuspielen.


    Ich nutze keine Hersteller, dann bin ich doch von der Lücke auch nicht betroffen und kann noch ein bisschen warten, oder wie siehst du das?


    Mir ist klar, dass das nicht der beste Weg ist. Über eine Antwort freue ich mich trotzden ;)


    Beste Grüße

    Dirk

  • Habe eben gesehen, dass das Upadte jetzt im Backend angezeigt wird.


    TCPDF 1.0.9 war allerdings nicht dabei.

    Dazu musst Du dir wie der Stefan es im Post #2 beschrieben hat, die "package" Datei downloaden, diese dann entpacken und die TCPDF extra als letztes installaieren. Das war es dann.

  • Servus,


    die XML-Datei für TCPDF war noch unterwegs. Nun sollten alle drei angezeigt werden.

    Evtl. noch einmal die Aktualisierungen aufrufen, auf "Leeren" und dann "Aktualisierungen suchen" klicken, falls es nicht automatisch angezeigt wird.


    Grüße

    Stefan

  • Hallo Frao,


    danke für die Antwort.


    Soweit kann ich das schon lösen, ich wollte nur vom fehlenden TCPDF-Update über das Backend berichten.

    Die meisten werden über das Backend updaten und dann haben sie eine veraltete Version von TCPDF.


    Mir ist die Frage, ob man denn Updaten muss, wenn man keine Hersteller nutzt viel wichtiger ;)


    Vielleicht kann da noch mal jemand etwas dazu sagen?



    Vielen Dank!

  • jetzt funktioniert es! Danke!


    Mir ist die Frage, ob man denn Updaten muss, wenn man keine Hersteller nutzt viel wichtiger ;)


    Vielleicht kann da noch mal jemand etwas dazu sagen?

  • Ah ja, richtig.


    Der Fix ist ziemlich einfach. Ich würde ihn in die 3.8.4 einbauen.


    Mit einem vernünftigen Editor, der UTF-8 kann:

    administrator/components/com_virtuemart/models/product.php öffnen.


    Zeile 177:

    $filter_order_Dir = strtoupper (vRequest::getCmd ('dir', VmConfig::get('prd_brws_orderby_dir', 'ASC')));


    Zeile 178 ist sowieso leer, einfach dieses in Zeile 178 hineinkopieren:

    $filter_order_Dir = $this->checkFilterDir($filter_order_Dir);


    Nachher sieht es dann so aus:

    $filter_order_Dir = strtoupper (vRequest::getCmd ('dir', VmConfig::get('prd_brws_orderby_dir', 'ASC')));

    $filter_order_Dir = $this->checkFilterDir($filter_order_Dir);


    Damit wird die Eingabe gefiltert und die XSS-Lücke ist geschlossen.


    Man kann es überprüfen, indem man die Zeichenkette:

    /component/virtuemart/?keyword=&dir=%2522%253e%253cscript%253ealert%2528%25%32%37%25%33%34%25%34%65%25%35%66%25%34%33%25%35%35%25%35%32%25%35%61%25%34%35%25%32%37%2529%253c%252fscript%253e


    an die Seiten-URL hängt.


    https: // www.eineseite .de/component/virtuemart/?keyword=&dir=%2522%253e%253cscript%253ealert%2528%25%32%37%25%33%34%25%34%65%25%35%66%25%34%33%25%35%35%25%35%32%25%35%61%25%34%35%25%32%37%2529%253c%252fscript%253e


    Wenn kein Popup kommt, ist die Lücke geschlossen.


    Grüße

    Stefan

  • sprachrohr

    Hat das Label Gelöst: hinzugefügt