Sicherheitslücke - Bugfix: Kunden werden zu Admin

[fishnet]

Durch einen Bug können unter bestimmten Umständen Kunden zu Admins ohne Berechtigung werden. Das bedeutet in der Praxis, das sie nach bisherigen Erkenntnissen keinen Zugang zum Adminbereich bekommen können, jedoch die Adminbox sehen - und somit wertvolle Zahlen wie Kundenanzahl, Bestellanzahl etc.
Die Programmier werden es einen Bug nennen, die BWLer eine Sicherheitslücke 

Hier der Bugfix.
Suche in includes/write_customers_status.php

Code: PHP  [Auswählen]

  if (isset($_SESSION['customer_id'])) {
    $customers_status_query_1 = xtc_db_query("SELECT customers_status FROM " . TABLE_CUSTOMERS . " WHERE customers_id = '" . $_SESSION['customer_id'] . "'");

Füge danach ein:

Code: PHP  [Auswählen]

 if (xtc_db_num_rows($customers_status_query_1) == 0) {
    unset($_SESSION['customer_id']);
    xtc_redirect(xtc_href_link(FILENAME_LOGOFF, '', 'SSL'));
  }

Wir haben schon mehrere Anfragen erhalten, wie genau man diesen Bug nachstellen kann. Ich bitte um Verständnis, das wir das nicht veröffentlicht sehen möchten, da wirklich jeder Laie sonst auf Wirtschaftsspionage gehen könnte. Es war uns jedoch wichtig, den Fix jetzt zu veröffentlichen und nicht auf die 2.0 zu warten.

[EDIT Tomcraft 17.12.2014: Code korrigiert.]

[EDIT h-h-h 17.12.2014: Sicherheitsproblem im Sicherheitsfix behoben (header/exit)]

Linkback: https://www.modified-shop.org/forum/index.php?topic=31789.0

[mrheat]

vielen Dank für den Fix !!!

[Haustier-Laden]

Danke auch von mir.

mit freundlichen Gruß
Rene

[Phantom]

Danke.

[Ceciro]

Danke fishnet,

Gruß Cicero

[hendrik]

Ne. Ist korrekt so.

Hast dus ausprobiert?

Gruß
Hen

[Kneumi]

Kann Ciceros Fehlermeldung bestätigen.  unexpected error in line 27, das ist die mit dem header(“location: “.FILENAME_LOGOFF);

So sieht bei mir die nicht funktionierende Codestelle aus:

Code: PHP  [Auswählen]

 // write customers status in session
  if (isset($_SESSION['customer_id'])) {
    $customers_status_query_1 = xtc_db_query("SELECT customers_status FROM " . TABLE_CUSTOMERS . " WHERE customers_id = '" . $_SESSION['customer_id'] . "'");
    // BOF – Fishnet Services – Nicolas Gemsjäger
    if (xtc_db_num_rows($customers_status_query_1) == 0) {
   header(“location: “.FILENAME_LOGOFF);
    }
    // EOF – Fishnet Services – Nicolas Gemsjäger
    $customers_status_value_1 = xtc_db_fetch_array($customers_status_query_1);

[fishnet]

Keine Sorge, der Bugfix wurde schon mehrfach eingebaut und Fehler gab es nirgends.

#EDIT: korrigiert wegen Copy+Paste Fehler
Suche in includes/write_customers_status.php

Code: PHP  [Auswählen]

  if (isset($_SESSION['customer_id'])) {
    $customers_status_query_1 = xtc_db_query("SELECT customers_status FROM " . TABLE_CUSTOMERS . " WHERE customers_id = '" . $_SESSION['customer_id'] . "'");

Füge danach ein:

Code: PHP  [Auswählen]

 if (xtc_db_num_rows($customers_status_query_1) == 0) {
      unset($_SESSION['customer_id']);
      xtc_redirect(xtc_href_link(FILENAME_LOGOFF, '', 'SSL'));
   }

[EDIT Tomcraft 17.12.2014: Korrektur in Beitrag 1 übernommen.]
[EDIT h-h-h 17.12.2014: Korrektur eines gravierenden Fehlers im Sicherheitsfix (header/exit)]

[webald]

1. Danke
2. Das ist aber nur ein Workaround und behebt das ursächliche Problem nicht.
3. evtl. Alternativ-Lösung: Admingruppe im Standard eine andere ID ungleich 0 zuweisen. Ich bin dann bei solchen Standrdwerten immer für Werte die nicht automatisch erstellte werden, wie negative Zahlen bei Autoinkrement-Spalten. Das könnte aber Programmierarbeit in verschiedenen Dateien nach sich ziehen.

[Ceciro]

Ja, natürlich hatte ich das eingebaut...

Der Code von fishnet (Antwort #7) ist richtig.
Im ersten Beitrag werden die "Gänsefüßchen" um location: falsch dargestellt, so dass sich beim Copy und Paste der Fehler einschleicht.

Also noch einmal vielen Dank.

Gruß Cicero

[fishnet]

ah verstehe. Bitte ein Mod mal zum Korrigieren, danke 

[innuXTC]

Danke!

Wie kann ich denn testen, ob der Einbau erfolgreich war und der Kunde keine Fehlermeldung erhält? Einfach nur als Admin oder User einloggen?

PS: Ja, hatte auch Probleme beim C&P mit dem " und den - (in den Kommentaren).

[fishnet]

Logge dich als Kunde ein und schau ob du eine Fehlermeldung erhälst bzw ob der Shop dich wieder rauswirft (wird aber definitiv nicht geschehen).

[baalze]

Der Fix scheint mir nicht ausreichend. Ich würde xtc_redirect() verwenden.

[Kneumi]

Der Code von fishnet (Antwort #7) ist richtig.
Im ersten Beitrag werden die "Gänsefüßchen" um location: falsch dargestellt, so dass sich beim Copy und Paste der Fehler einschleicht.

Jup, das wars bei mir auch. Im Editor die kopierten Gänsefüsschen ersetzt und die Fehlermeldung tritt nicht mehr auf. Danke