Sicherheitslücke bei xt:commerce und GambioGX

Von: | 30. November 2009
Sicherheitslücke bei xt:commerce und GambioGX, 4.0 out of 5 based on 1 rating
GD Star Rating
loading...

Wie heute durch den Blätter-, Blogger- und Twitterwald rauscht, wäre es potentiellen Angreifern durch eine SQL-Injection-Schwachstelle bei xt:commerce und Gambio möglich sämtliche Benutzerdaten, Artikel und Bestellungen einzusehen. Schuld sei ein unsicherer Programmiercode. Es genüge ein einfaches Script um in kurzer Zeit an mehreren Stellen des Shops auf den Admin-Bereich zu gelangen. Aufgrund eines Kundenhinweises hat E-Commerce-Dienstleister Ruhrmedia nun einen Sicherheitspatch für diese Sicherheitslücke vorgelegt.

Bisher seien jedoch noch keine Shops bekannt, die durch einen Angriff an dieser Stelle Schaden erlitten. Allerdings sollten Webshop-Betreiber diesen Patch so schnell wie möglich installieren!

Eine Nachfrage bei Ruhrmedias Geschäftsführer Andreas Konopka ergab übrigens, dass zumindest Gambio umgehend reagierte und seine Kunden über diese Sicherheitslücke bereits in Kenntnis gesetzt hat.

Shop-Betreiber können den Patch für die beiden betroffenen Shopsysteme bei Ruhrmedia kostenlos runterladen.

Autorenfoto bewegt sich seit 1997 beruflich im Internethandel, gilt als E-Commerce Experte und verfügt über große gelebte Praxiserfahrung. Er ist Autor mehrerer Fachbücher und einer Vielzahl von Fachartikeln zu allen Aspekten des Onlinegeschäfts. Heute berät und begleitet er vor allem mittelständische Unternehmen im E-Commerce.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

6 Comments

  1. Na zum Glück habe ich der os/xt-Commerce Schusterei schon lange zu Gunsten von professionaler Shop-Software den Rücken gekehrt. Ist doch nur eine Frage der Zeit, bis hier die nächsten Schwachstellen auftauchen, so war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.

    Kommentar by dogblanco — 1. Dezember 2009 @ 09:43

  2. Sehe ich auch so. Deswegen surfe ich auch nur offline.
    Leider habe ich noch kein professionelles Betriebssystem gefunden. Ist doch nur eine Frage der Zeit bis die nächsten Schwachstellen in Windows auftauchen.
    So war es in der Vergangenheit und so wird es sicher auch in der Zukunft sein.

    Kommentar by Peter — 1. Dezember 2009 @ 11:42

  3. Ja genau. All die Jahre. Schon wieder so eine Schwachstelle. Ich glaube es ist inzwischen die zweite. Und das in nur 9 Jahren.

    Schade dass dogblanco nicht auch sofort seine profisoftware beim namen genannt hat. Das wäre marketingtechnisch fast so effektiv wie die Aktion von Ruhrmedia.

    Kommentar by Folker — 1. Dezember 2009 @ 14:47

  4. Mittlerweile das zweite Pseudopatch in kürzester Zeit, mit dem man auf sich aufmerksam machen will. Immer schön auf Kosten der Shopbetreiber, die sich in der ersten allgemeinen Hysterie dann auch noch so ein Ding ungeprüft in den Core hämmern.

    Kommentar by Ralph — 1. Dezember 2009 @ 20:56

  5. Interessanter Patch, übrigens auch selbst eine potentielle Sicherheitslücke, ein Aufruf in dem ein größeres Array übergeben wird dürfte sehr schnell ordentlich Last fahren (Arrays ungeprüft schrittweise durchzugehen ist so eine Sache). Macht man das ein wenig öfter kriegt man so schnell mal den Shop zum stehen. Stichwort : DoS Attacke

    Abgesehen davon filtert das Ding nur select Statements aus, ich komme also nicht mehr an die Daten, ok, aber das hindert mich keineswegs diese zu löschen, zu verändern, neue einzufügen etc..

    Unter diesem Aspekt also nicht gerade eine umfassende Lösung.

    Kommentar by H.P. — 2. Dezember 2009 @ 09:11

  6. Ich habe mir den Patch auch mal eben angesehen.
    Was soll das insgesamt bringen, geschweige denn ist dieser Patch auch nur ein Pflickwerk, das viele Probleme mit sich bringen kann. Wie einige Vorschreiber schon erwähnt haben, werden hier teilweise Sicherheitslücken herbeigeredet. Für die aktuelle xtC-Version ist dieser Patch beispielsweise komplett überflüssig.

    Leider werden solche Meldungen immer öfter missbraucht, um sich in Szene zu setzen. Deshalb grundsätzlich Vorsicht, bevor solche vermeintlich wichtigen Patches eingespielt werden. Es wäre zukünftig schon von Vorteil, wenn solche Meldungen erst dann rausgehen, wenn sich ein kompetenter Programmierer damit beschäftigt hat. So gibt das nur unnötigen Druck auf die Dienstleister, die Kunden mit diesen Shops bedienen und in Folge erklären müssen, das ein Patch nicht notwendig ist, bzw. im Gegenteil sogar nachteilig ist.

    Kommentar by Rolf — 2. Dezember 2009 @ 18:12

RSS feed for comments on this post.


Sorry, the comment form is closed at this time.