Wie heute durch den Blätter-, Blogger- und Twitterwald rauscht, wäre es potentiellen Angreifern durch eine SQL-Injection-Schwachstelle bei xt:commerce und Gambio möglich sämtliche Benutzerdaten, Artikel und Bestellungen einzusehen. Schuld sei ein unsicherer Programmiercode. Es genüge ein einfaches Script um in kurzer Zeit an mehreren Stellen des Shops auf den Admin-Bereich zu gelangen. Aufgrund eines Kundenhinweises hat E-Commerce-Dienstleister Ruhrmedia nun einen Sicherheitspatch für diese Sicherheitslücke vorgelegt.
Bisher seien jedoch noch keine Shops bekannt, die durch einen Angriff an dieser Stelle Schaden erlitten. Allerdings sollten Webshop-Betreiber diesen Patch so schnell wie möglich installieren!
Eine Nachfrage bei Ruhrmedias Geschäftsführer Andreas Konopka ergab übrigens, dass zumindest Gambio umgehend reagierte und seine Kunden über diese Sicherheitslücke bereits in Kenntnis gesetzt hat.
Shop-Betreiber können den Patch für die beiden betroffenen Shopsysteme bei Ruhrmedia kostenlos runterladen.
Lädt...
Shopware stellt neue „Progressive Web App“ vor
Paukenschlag auf dem Community Day: Shopware 6 jetzt auch in der Cloud
Shopware 6 – Hersteller präsentiert neues eCommerce-System für „grenzenlose Freiheit“
Alles SaaS, alles gut? – die Probleme von SaaS-Modellen
dogblanco meint
Na zum Glück habe ich der os/xt-Commerce Schusterei schon lange zu Gunsten von professionaler Shop-Software den Rücken gekehrt. Ist doch nur eine Frage der Zeit, bis hier die nächsten Schwachstellen auftauchen, so war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.
Peter meint
Sehe ich auch so. Deswegen surfe ich auch nur offline.
Leider habe ich noch kein professionelles Betriebssystem gefunden. Ist doch nur eine Frage der Zeit bis die nächsten Schwachstellen in Windows auftauchen.
So war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.
Folker meint
Ja genau. All die Jahre. Schon wieder so eine Schwachstelle. Ich glaube es ist inzwischen die zweite. Und das in nur 9 Jahren.
Schade dass dogblanco nicht auch sofort seine profisoftware beim namen genannt hat. Das wäre marketingtechnisch fast so effektiv wie die Aktion von Ruhrmedia.
Ralph meint
Mittlerweile das zweite Pseudopatch in kürzester Zeit, mit dem man auf sich aufmerksam machen will. Immer schön auf Kosten der Shopbetreiber, die sich in der ersten allgemeinen Hysterie dann auch noch so ein Ding ungeprüft in den Core hämmern.
H.P. meint
Interessanter Patch, übrigens auch selbst eine potentielle Sicherheitslücke, ein Aufruf in dem ein größeres Array übergeben wird dürfte sehr schnell ordentlich Last fahren (Arrays ungeprüft schrittweise durchzugehen ist so eine Sache). Macht man das ein wenig öfter kriegt man so schnell mal den Shop zum stehen. Stichwort : DoS Attacke
Abgesehen davon filtert das Ding nur select Statements aus, ich komme also nicht mehr an die Daten, ok, aber das hindert mich keineswegs diese zu löschen, zu verändern, neue einzufügen etc..
Unter diesem Aspekt also nicht gerade eine umfassende Lösung.
Rolf meint
Ich habe mir den Patch auch mal eben angesehen.
Was soll das insgesamt bringen, geschweige denn ist dieser Patch auch nur ein Pflickwerk, das viele Probleme mit sich bringen kann. Wie einige Vorschreiber schon erwähnt haben, werden hier teilweise Sicherheitslücken herbeigeredet. Für die aktuelle xtC-Version ist dieser Patch beispielsweise komplett überflüssig.
Leider werden solche Meldungen immer öfter missbraucht, um sich in Szene zu setzen. Deshalb grundsätzlich Vorsicht, bevor solche vermeintlich wichtigen Patches eingespielt werden. Es wäre zukünftig schon von Vorteil, wenn solche Meldungen erst dann rausgehen, wenn sich ein kompetenter Programmierer damit beschäftigt hat. So gibt das nur unnötigen Druck auf die Dienstleister, die Kunden mit diesen Shops bedienen und in Folge erklären müssen, das ein Patch nicht notwendig ist, bzw. im Gegenteil sogar nachteilig ist.