Kritische Sicherheitslücke in allen Modified Versionen

[forever]

Wenn ich mich in meinem Shop einlogge sehe ich auch diese Meldung Sicherheits Patch.
Das MUSS gemacht werden oder?
Kann das auch ein Laie selber?

[fishnet]

Die Frage ob das gemacht werden muss, war nicht ernst gemeint, oder ?

Du brauchst ein FTP Programm (bitte auf einem virenfreien PC  )
Du lädst dir diesen Patch herunter, entpackst ihn. Benennst die alten Dateien um oder lädst sie dir runter, und lädst dann die neuen Dateien die du gerade entpackt hast, hoch.

Danach googelst du wie man einen htaccess Passwortschutz erstellt, erstellst dir eine .htaccess und eine .htpasswd Datei und lädst sie in den Ordner "admin".

[Jürgen]

Hallo,

habe soeben über folgende Anleitung einen htaccess Passwortschutz eingerichtet: MODUL: htaccess Schutz für Admin-Bereich der modified eCommerce Shopsoftware einrichten

Danach funktioniert der Zugriff von JTL WAWi auf den shop nicht mehr....

Braucht man den htaccess Passwortschutz?

Gruss Jürgen

[GTB]

Hallo,

die Lücke lässt sich in allen bisher veröffentlichten Versionen nicht so einfach fixen, da hier sehr viele Dateien recht aufwendig geändert werden müssen.

Aber hier eine grundsätzliche Empfehlung:

1. die Admin Accounts prüfen, ob hier auch alle genehmigt sind
2. wenn man im Admin eingeloggt ist, sollte man mit diesem Browser keine anderen Seiten besuchen
3. sollte man dies doch machen, sollte vorher sichergestellt sein, dass man im Shop wieder abgemeldet ist

Wenn man das beherzigt, dann kann diese Lücke nicht ausgenutzt werden.

Gruss Gerhard

PS:
Ein htaccess Schutz hilft an der Stelle nicht.

[Bonsai]

@GTB:

Danke für die Infos

@forever:

ACHTUNG! Der Patch den Du meinst ist das letzte kritische Sicherheitsupdate, das musst Du installieren, das ist richtig, aber das von dem hier im Thread die Rede ist, dann auch noch! Das sind zwei paar Schuhe!

[webald]

Ich muss mal was in den Raum stellen, dass auch etwas Geld in die Kassen der Entwickler bringen kann.

Die Sicherhitslücken und wie diese funktionieren sind dem Team ja bekannt. Das Team hat sicherlich zu jeder Lücke ein Script um die Lücke bzw. den Fix zu testen. Wie wäre es mit einem kostenpflichtigen Test des eigenen Shops ob auch da diese Lücke besteht?

Diesen könnte man unter Angabe von Domain über ein Formular bestellen und das Ergebnis wird nur an den als Admin im Impressum des Shops hinterlegte Email gesendet.

Durch die vielen verbauten Module in einzelnen Shops, muss ein Fix für den Standard eine Lücke ja schließlich nicht unbedingt schließen.

[peterdd]

die Lücke lässt sich in allen bisher veröffentlichten Versionen nicht so einfach fixen, da hier sehr viele Dateien recht aufwendig geändert werden müssen.

Was spricht gegen meine einfacher umzusetzende vorgeschlagene Lösung? Hatte mit GTB telefoniert am Montag. Wir hatten zwar die Problematik diskutiert, aber zu keinem endgültigen Ergebnis gekommen. Bitte nochmal jemand vom Team zur Diskussion bei mir melden.

Den Rest des Posts von GTB kann ich so unterschreiben.

[fishnet]

PS:
Ein htaccess Schutz hilft an der Stelle nicht.

Wir haben heute mal den Code in einem verseuchten Bild dekompiliert, du hast recht.
das ist ja krass 
Also: im Admin einloggen = nichts anderes besuchen, AUCH NICHT das Frontend des eigenen Shops
Backend in Browser 1 aufrufen - Frontend in Browser 2

[Bonsai]

Das Bild wird über cross site scripting verseucht?
Ich sinniere gerade über einen cronjob der die Änderungszeit für alle Bilder vergleicht mit den Werten von vor einer Stunde .... der schreit dann Alarm ... noch besser wäre alle Stunde md5 hashes aus den Bildern erzeugen .... omg, wenn ich Zeit hätte würde ich mich gleich draufstürzen ....

[Taste]

Würde ein ändern der Dateirechte der Bilder erstmal "schützen" ?

[Matt]

Die primäre Frage ist doch wie die Bilder überhaupt infiziert werden. Es ist ja nicht so, dass die sich von alleine anstecken.

[manne35]

Hallo,... mal blöd gefragt:
Wo ändere ich denn dann am Besten das Admin Passwort:
Im Frontend oder im Backend...?

Also wenn ich eingeloggt nicht mal den Shop besuchen kann, ja dann.... wird mir schon etwas mulmig im Bauch...   

[p3e]

Reden wir jetzt wirklich über infizierte Bilder oder über infizierte img-tags?
Und ich stelle mir die selbe Frage wie Matt: Wie kommen die auf die eigene Seite?
Ich gehe eigentlich davon aus, dass ich meinem eigenen Shop trauen kann. Wenn da verfälschte img-tags sein sollen, dann wäre er doch eh schon gehackt.

Oder steh ich irgendwo auf dem Schlauch?

Dass man den Shop alleine in einem Browser ausführt leuchtet mir ein.

[GTB]

Hallo,

dieses Szenario findet nur statt, wenn man Bilder von nicht vertrauenswürdigen Quellen im Shop verwendet.

Ansonsten sehe ich hier kein Problem.

Gruss Gerhard

[Bonsai]

Danke GTB. Das beruhigt mich jetzt.