Bei einem umfangreichen Security-Check ist Gambio auf eine kritische Sicherheitslücke gestoßen, welche bis zu 50.000 Onlineshops betreffen könnte. Über diese Sicherheitslücke ist es möglich, dass Dritte Zugang zur Administration des Shops erlangen können und somit praktisch die Kontrolle über den gesamten Shop inkl. der Kunden- und Bestelldaten hätten. Betroffen sind nach Kenntnisstand von Gambio das Shopsystem von xt-commerce Shop (getestet in Version 3.04 SP2.1) sowie darauf aufbauende Systeme, wozu z.B. „modified“ und eben auch „Gambio“ selbst gehören. In der aktuellen Gambio Version ist die Sicherheitslücke bereits geschlossen. Die Entwickler von xt-commerce und modified wurden gestern von Gambio benachrichtigt.
Gambio stuft diese Sicherheitslücke als sehr kritisch ein und hat gestern bereits alle Gambio-Shopbetreiber informiert und einen Patch zur Verfügung gestellt. Auch für xt-commerce und modified, stellt der Shop Software-Anbieter unter http://www.gambio.de/security-patch-dez2013-div.html einen Patch zur Verfügung.
Zur Veranschaulichung hat uns Gambio-Geschäftsführer ein kurzes Video vorgestellt, welches den Hack zeigt. Gambio und shopanbieter.de verzichten bewusst darauf Details an die Öffentlichkeit zu geben, die zum Ausnutzen der Sicherheitslücke genutzt werden könnten.
Da die Lücke im Rahmen von Tests entdeckt wurde, ist davon auszugehen, dass sie bislang noch nicht aktiv ausgenutzt wurde. Mit dem Bekanntwerden könnte sich dies jedoch nun ändern, weshalb betroffene Shopbetreiber diese Lücke nun schnellstmöglich schließen sollten. Um möglichst viele Shopbetreiber zu erreichen, halten wir eine zeitnahe Veröffentlichung für sinnvoll.
H.P. meint
Bei xtc modified ist der Patch übrigens noch fehlerhaft in der aktuellen Distribution enthalten! Sollten also auch frische Shopbetreiber patchen bzw. den Index nachtragen.
Btw., um diese Lücke auszunutzen müssten schon 2 Ausgangspunkte stimmen, dürfte in der Realität kaum zu Hacks führen.
xt:Commerce meint
Das Problem betrifft nur die 7 Jahre alte xt:Commerce Version 3.0.4.
In aktuellen Versionen ist dieser Fehler nicht enthalten, da xt:Commerce 4 komplett neu Entwickelt wurde.
xt:Commerce 3 ist bereits seit 2008 ohne Hersteller-Support.
Kunden die in den letzten 7 Jahren kein Update gemacht haben, sollten dies nun entgültig durchführen.
H.P. meint
Oder die Stelle entsprechend abändern, ist nur eine Zeile. 😉