• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
  • Mail-Icon
  • RSS-Icon
  • G+-Icon
  • Twitter-Icon
  • Facebook-Icon

Blog für den Onlinehandel

das Zentralorgan der deutschen Onlinehändler-Szene

Das ist Ihr Onlineshop wert
  • Home
  • Kostenlose Unternehmensbewertung
  • Verkaufsbörse
  • News & Artikel
  • Ratgeber
  • Über uns
Aktuelle Seite: Startseite / Shopsysteme / Sicherheitslücke bei xt:commerce und GambioGX
6

Sicherheitslücke bei xt:commerce und GambioGX

30. November 2009 von Peter Höschl

Dieser Artikel wird Ihnen vorgestellt von: shopanbieter.de- Eigenanzeige -

Logo shopanbieter.deIm konkreten Kundenauftrag sucht unser M&A-Partner laufend, Onlineshops, Multichannel-Unternehmen (mit Amazon, Ebay etc.) und Amazon Pure Player.

Jetzt informieren: Shop / Amazon Business zum Kauf gesucht

Wie heute durch den Blätter-, Blogger- und Twitterwald rauscht, wäre es potentiellen Angreifern durch eine SQL-Injection-Schwachstelle bei xt:commerce und Gambio möglich sämtliche Benutzerdaten, Artikel und Bestellungen einzusehen. Schuld sei ein unsicherer Programmiercode. Es genüge ein einfaches Script um in kurzer Zeit an mehreren Stellen des Shops auf den Admin-Bereich zu gelangen. Aufgrund eines Kundenhinweises hat E-Commerce-Dienstleister Ruhrmedia nun einen Sicherheitspatch für diese Sicherheitslücke vorgelegt.

Bisher seien jedoch noch keine Shops bekannt, die durch einen Angriff an dieser Stelle Schaden erlitten. Allerdings sollten Webshop-Betreiber diesen Patch so schnell wie möglich installieren!

Eine Nachfrage bei Ruhrmedias Geschäftsführer Andreas Konopka ergab übrigens, dass zumindest Gambio umgehend reagierte und seine Kunden über diese Sicherheitslücke bereits in Kenntnis gesetzt hat.

Shop-Betreiber können den Patch für die beiden betroffenen Shopsysteme bei Ruhrmedia kostenlos runterladen.

  • teilen  
  • twittern 
  • teilen 
  • teilen 
  • mitteilen 
  • E-Mail 
  • drucken 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Lädt...

Auch interessant

  • Shopware stellt neue „Progressive Web App“ vor
  • Paukenschlag auf dem Community Day: Shopware 6 jetzt auch in der Cloud
  • Shopware 6 – Hersteller präsentiert neues eCommerce-System für „grenzenlose Freiheit“
  • Alles SaaS, alles gut? – die Probleme von SaaS-Modellen

Kategorie: Shopsysteme Stichworte: Datensicherheit, Open Source Shopsysteme, Shop Software, xt:commerce

Reader Interactions

Kommentare

  1. dogblanco meint

    1. Dezember 2009 um 09:43

    Na zum Glück habe ich der os/xt-Commerce Schusterei schon lange zu Gunsten von professionaler Shop-Software den Rücken gekehrt. Ist doch nur eine Frage der Zeit, bis hier die nächsten Schwachstellen auftauchen, so war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.

  2. Peter meint

    1. Dezember 2009 um 11:42

    Sehe ich auch so. Deswegen surfe ich auch nur offline.
    Leider habe ich noch kein professionelles Betriebssystem gefunden. Ist doch nur eine Frage der Zeit bis die nächsten Schwachstellen in Windows auftauchen.
    So war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.

  3. Folker meint

    1. Dezember 2009 um 14:47

    Ja genau. All die Jahre. Schon wieder so eine Schwachstelle. Ich glaube es ist inzwischen die zweite. Und das in nur 9 Jahren.

    Schade dass dogblanco nicht auch sofort seine profisoftware beim namen genannt hat. Das wäre marketingtechnisch fast so effektiv wie die Aktion von Ruhrmedia.

  4. Ralph meint

    1. Dezember 2009 um 20:56

    Mittlerweile das zweite Pseudopatch in kürzester Zeit, mit dem man auf sich aufmerksam machen will. Immer schön auf Kosten der Shopbetreiber, die sich in der ersten allgemeinen Hysterie dann auch noch so ein Ding ungeprüft in den Core hämmern.

  5. H.P. meint

    2. Dezember 2009 um 09:11

    Interessanter Patch, übrigens auch selbst eine potentielle Sicherheitslücke, ein Aufruf in dem ein größeres Array übergeben wird dürfte sehr schnell ordentlich Last fahren (Arrays ungeprüft schrittweise durchzugehen ist so eine Sache). Macht man das ein wenig öfter kriegt man so schnell mal den Shop zum stehen. Stichwort : DoS Attacke

    Abgesehen davon filtert das Ding nur select Statements aus, ich komme also nicht mehr an die Daten, ok, aber das hindert mich keineswegs diese zu löschen, zu verändern, neue einzufügen etc..

    Unter diesem Aspekt also nicht gerade eine umfassende Lösung.

  6. Rolf meint

    2. Dezember 2009 um 18:12

    Ich habe mir den Patch auch mal eben angesehen.
    Was soll das insgesamt bringen, geschweige denn ist dieser Patch auch nur ein Pflickwerk, das viele Probleme mit sich bringen kann. Wie einige Vorschreiber schon erwähnt haben, werden hier teilweise Sicherheitslücken herbeigeredet. Für die aktuelle xtC-Version ist dieser Patch beispielsweise komplett überflüssig.

    Leider werden solche Meldungen immer öfter missbraucht, um sich in Szene zu setzen. Deshalb grundsätzlich Vorsicht, bevor solche vermeintlich wichtigen Patches eingespielt werden. Es wäre zukünftig schon von Vorteil, wenn solche Meldungen erst dann rausgehen, wenn sich ein kompetenter Programmierer damit beschäftigt hat. So gibt das nur unnötigen Druck auf die Dienstleister, die Kunden mit diesen Shops bedienen und in Folge erklären müssen, das ein Patch nicht notwendig ist, bzw. im Gegenteil sogar nachteilig ist.

Haupt-Sidebar (Primary)

Newsletter abonnieren

Über 7.000 Newsletter-Abonnenten erhalten bei neuen Verkaufsofferten eine kurze Infos ins Postfach. Kostenlos, jederzeit kündbar. Nutzen auch Sie diesen Infovorteil!

Keine Datenweitergabe!

Unsere Sponsoren

Logo Plantymarkets

Logo shopware

Beliebteste Artikel

  • Verkaufsbörse: E-Commerce Business für Tierbedarf

Hostingsponsor

Logo von Estugo

Footer

Newsletter abonnieren

Bei neuen Artikeln eine kurze Info ins Postfach, kostenlos, jederzeit kündbar. Keine Datenweitergabe!

Wichtige Links

  • Datenschutz
  • Impressum
  • Archiv

Schlagwörter

Abmahnung Amazon Amazon Förderprogramm amazon marketplace Businessplanung Controlling Datenschutz E-Commerce Analyse ebay Facebook Geschäftsklima Google Gütesiegel Internationalisierung Know-how Kundenbindung Local Heroes Logistik Magento Marktanalyse Marktplatz Marktplätze Multi Channel Open Source Shopsysteme Payment Preisportale Pressemitteilungen Presseschau Recht SEO Shop-Marketing shopanbieter to go Shop Software Shopsuche Social Commerce Sortimentssteuerung Stationärgeschäft Studien UdZ Usability Veranstaltungen Verkaufsbörse Weihnachtsgeschäft Weiterbildung Zukunft des Handels