Ve verzi ZenCartu 1.3.8. a níže se v administraci nachází bezpečnostní chyba, která umožní útočníkovi nahrát php skripty do složky images. Tyto skripty pak využívají server ke spamování a jiným nebezpečným praktikám. Každou takto zneužitou doménu jsme nuceni zablokovat – o blokaci je klient vždy informován.

Na tuto chybu vyšla již oprava a je popsána na http://www.zen-cart.com/forum/showthread.php?t=130161

Zde je postup v češtině:

1. Je silně doporučeno změnit název složky admin na jiný název, který bude znám pouze pro Vás. Toto není příčinou chyby, ale pouze snížení rizika, postup v angličtině je zde http://tutorials.zen-cart.com/index.php?article=33
2. Vytvořte si zálohu FTP stažením na disk a také si v PHPMyAdminu nebo v nástroji v administraci ZenCartu udělejte zálohu
3. Pokud je používaná starší verze než 1.3., tak je silně doporučeno ji aktualizovat – patch nemusí fungovat na starších verzích nebo může způsobit problémy
4. Stáhněte si tento soubor, rozbalte a jeho obsah nahrajte na ftp – pozor pokud jste přejmenovali složku admin na jinou, tak je nutné ji přejmenovat i v tomto patch balíčku
5. Ve složce images vymažte, pokud se tam nachází, všechny soubory končící .php nebo .pl
6. Je nutné také změnit všechny hesla – jak do administrace, tak například API klíč a optimálně i hesla klientů
7. Doporučujeme také změnit heslo do databáze a upravit připojení v config.php
8. Také je doporučeno porovnat obsah původního eshopu s nynější verzi na FTP – zda nebyly zneužitý i jiné složky na FTP a nahrány tam cizí PHP soubory – lze využít specializované programy

Přílohy: ZenCart Security Patch v1.3.8. z 19.6.2009

Z důvodu zvýšení dostupnosti služeb a stanovení přesnějších pravidel jsme se rozhodli zavést maximální možný memory limit v php pro tarify.

Memory limit je omezení paměti pro jeden běžicí skript. Pokud využití paměti přesáhne dané nastavení, tak se skript ukončí. Toto nastavení tak zabezpečí, že jeden skript nevyužije například 1 GB operační paměti – což by bylo na sdíleném webhostingu nepřijatelné.

Stanovení přesných pravidel tohoto nastavení zabrání tomu, aby se na malých tarifech využívalo neúměrné množství prostředků vzhledem k vyšším tarifům.

Maximální možné nastavení memory limitu nyní je:

• Tarif Smart a Praktik 40MB
• Tarif Mini a Live 70 MB
• Tarif Online a vyšší 100MB

Současné individuální nastavení memory limitů zůstane zachováno.

Z důvodů, že jsme v poslední době zaznamenali spamování z různých webů, rozhodli jsme se pro následující změny v nastavení serverů.

Dojde k zablokování funkce eval() v PHP, která umožňuje jakýkoliv vstup reprezentovat jako PHP kód což bylo v poslední době příčínou spoustu code-injection útoků převážně na starší verzi systému WordPress, na kterém je i provozován tento blog (v aktuální verzi). Tato funkce je vnímána odborníky jako riziková.

Dojde k vypnutí zobrazování chyb – to nadále bude možné zapnout skrze soubor .htacccess nebo jednoduše přes funkci error_reporting().

Před změnou bychom rádi ználi Váš názor na danou situaci. Přesný termín nasazení těchto úprav bude upřesněn na základě reakcí uživatelů, tak aby byl prostor na úpravu skriptů uživatelů, kterých se tato změna týká.