Sicherheitslücke in Version modified eCommerce Shopsoftware v1.05 dated: 2010-07-18 SP1b?

[eDampfer]

Hallo,

ich betreibe seit Januar 2012 einen Shop mit der Version modified eCommerce Shopsoftware v1.05 dated: 2010-07-18 SP1b (hab also das aktuelle Update noch nicht eingespielt, da erst grad gesehen)

1. Ist/sind in der verwendeten Version eine oder mehrere Sicherheitslücken bekannt bzw public?

2. Sind die Lücken mit dem Update gefixt?

Hintergrund der Frage ist, dass ich Werbemails an email-Adressen erhalten habe, die ausschliesslich in der DB vorhanden sind und nur intern benutzt werden. In der DB vorhandene Sicherheits- und Kontrolladressen wurden auch angemailt.

3. Was kann der Angreifer noch für Daten geklaut haben (alles/Kunden/Bestellungen/etc) ?

Ich danke für Eure schnellen Antworten.

MfG


Linkback: https://www.modified-shop.org/forum/index.php?topic=20628.0

[hbauer]

Hallo eDampfer

also im http://www.modified-shop.org/forum/index.php?topic=20333.0 steht

Es wurden einige kritische Lücken geschlossen. Deshalb ist es absolut zu empfehlen, ein Update zu machen!!!

Insofern gehe ich davon aus das in SP1b Sicherheitslücken vorhanden sind die jetzt gefixt sind

[DokuMan]

Ist das "nur" eine Vermutung, dass bei dir "eingebrochen" worden ist oder hast du konkrete Hinweise?

[Modfan]

Hallo eDampfer,

ich stecke auch gerade arg in der Klemme wegen dieser Lücken und werde hier später dazu auch noch um Hilfe bitten müssen und hoffe sehr stark, dass ich sie bekommen kann.
Zu Deinen Fragen könnte ich Dir nur unverbindlich helfen und meine Erkenntnisse diesbezüglich sind noch nicht 100% sicher. Deshalb nur mein kurzer Rat, der hier schon mal gepostet wurde:

Update rein, wenn Du kannst!

Nebenbei: Wenn jemand mal einen Link hat, wo man nachlesen kann, wie die allgemeine Updatepolitik bei XTC Modified aussieht, bitte unbedingt mal posten. Ich würde mich ganz gern darüber mal etwas genauer informieren, denn ich habe dazu leider immer noch keine Informationen gefunden.

Viele Grüße

 

[eDampfer]

Ist das "nur" eine Vermutung, dass bei dir "eingebrochen" worden ist oder hast du konkrete Hinweise?

Tja, ich weiss nicht, wie ich es beweisen soll, aber Du kannst Dir ganz sicher sein, dass ich mich NICHT mit so eMail-Adressen wie Fehlbestand(at)meineDomain.de oder Beste_kunden(at)meineDomain.de etc. bei irgendeinem Newslettern (und dann noch immer derselbe) anmelde. Komischerweise habe ich aber an ca. 5 dieser internen Dom-Adressen von einem Mitbewerber jeweils eine werbemail erhalten. Darüber hinaus wurde gleiche mail z. B. an die private mail-Adresse meiner Frau geschickt (hatte ich mal testweise bei mir angelegt). Auch Sie hat diese Werbemail erhalten und Sie hat mit dieser privaten Adresse definitiv nichts mit Dampfshops zu tun.
Daraus folgere ich, dass jemand mindestens die kompletten eMail-Adressen aus meiner DB gezogen hat.

Ob das jetzt für Dich konkrete Hinweise sind, musst Du entscheiden. Ich habe es für mich schon entschieden (sonst würd ich hier nicht schreiben).

[Modfan]

@eDampfer

Ich glaube, mindestens eine XSS Lücke funktioniert bei 1b immer noch ganz gut.
Kann mich aber auch täuschen.

[jannemann]

Hallo Modfan,

bitte vorsichtig sein mit solchen Aussagen!
Wenn du etwas gefunden hast, dann Kontaktiere bitte das Team.

Schöne Grüße,
Jan

[web28]

@eDampfer

Ich glaube, mindestens eine XSS Lücke funktioniert bei 1b immer noch ganz gut.
Kann mich aber auch täuschen.

Aktuelle Version ist modified eCommerce Shopsoftware 1.05 SP1c!
Die SP's werden nicht ohne Grund veröffentlicht.

Gruss Web28

[DokuMan]

von einem Mitbewerber jeweils eine werbemail erhalten.

Ganz einfach - frag beim Mitbewerber mit einem T5F nach, woher er die Adresse hat. Wenn er dem nicht nachkommt, kannst du juristisch weiter vorgehen.

[frangulus]

Ist das "nur" eine Vermutung, dass bei dir "eingebrochen" worden ist oder hast du konkrete Hinweise?

Daraus folgere ich, dass jemand mindestens die kompletten eMail-Adressen aus meiner DB gezogen hat.

Hallo,
ich folgere daraus, dass diese email-Adressen irgendwann mal bei einer email an externe auf Copy standen. Z.Bsp. durch ein unbedachtes reply-to-all oder forward.
Das war bisher oft der Grund für plötzliches Mail-Aufkommen bei eigentlich nur intern genutzten mail-Adressen. (Jedenfalls bei den Fällen die ich nachvollziehen konnte.)
Es kommt auch vor, dass der mail-Header, inkl. aller Adressen, als Text in eine weitergeleitete Mail eingefügt wird. Die betroffenen merken somit noch nicht mal etwas davon.

Gruß

[eDampfer]

Hallo,
ich folgere daraus, dass diese email-Adressen irgendwann mal bei einer email an externe auf Copy standen. Z.Bsp. durch ein unbedachtes reply-to-all oder forward.
Das war bisher oft der Grund für plötzliches Mail-Aufkommen bei eigentlich nur intern genutzten mail-Adressen. (Jedenfalls bei den Fällen die ich nachvollziehen konnte.)
Es kommt auch vor, dass der mail-Header, inkl. aller Adressen, als Text in eine weitergeleitete Mail eingefügt wird. Die betroffenen merken somit noch nicht mal etwas davon.

Gruß

Welche Art von mails meinst Du? Mails aus dem Shop oder von meinem lokalen Mail-client?
1. Aus dem Shop(-System) habe ich bisher keine mail verschickt, außer die Bestell-/Versandbestätigung (durch das Shop-System).
2. Es handelt sich um fiktive mail-Adressen, die in keinem Client etc. angelegt sind, sondern nur über ein "catchall" - mailkonto gefangen werden.
--> Diese mail-Adressen können normalerweise nur von Shop-System direkt angemailt werden. Ich habe mit dieser Mail-Adresse (nebst dem fiktiven Kunden und Gruppe) durch Bestellung im Shop Fehlbestände korrigiert, die mails archiviert und niemals für irgendwas anderes verwendet oder weitergeleitet.

[eDampfer]

Ich habe gerade eine mail erhalten, in der mir mitgeteilt wird, dass ein Kunde eines anderen modified eCommerce Shopsoftwareod-Shops auch diesen besagten newsletter erhalten hat, der bei mir nicht angemeldet ist. Ich schein mit meinem Problem also nicht allein auf der Welt zu sein.

@Sicherheitslücken
Da ich einige Modifikationen an meinem Shop hab durchführen lassen, kann ich nicht blind das Update 1C drüber kopieren (42 Verzeichnisse, 126 Dateien). Gibt es eine kleinere überschaubare Version, die nur die Sicherheitslücken schliesst?

Kann mir jemand oder einer der modified eCommerce Shopsoftwareod-Insider sagen, was durch die Lücken gestohlen worden sein kann? Bestellungen, Adressen UND/oder ganz wichtig Passwörter (und kann man die als Dieb verwenden)

[Modfan]

@eDampfer

Du kannst hier keine Email-Nachrichten empfangen, richtig? Schalte mal ein.
Wirst manuell durch die Admins machen lassen müssen.

Gruß

[eDampfer]

@modfan
Jetzt kann ich auch emails von Usern empfangen

[Modfan]

@eDampfer

Da ich einige Modifikationen an meinem Shop hab durchführen lassen, kann ich nicht blind das Update 1C drüber kopieren (42 Verzeichnisse, 126 Dateien). Gibt es eine kleinere überschaubare Version, die nur die Sicherheitslücken schliesst?

Nein, das geht scheinbar nicht. Ich hatte das so auch erwartet. Mir wurde aber gesagt, dass das wegen der Basis wohl nicht geht?!
Man muss das Update irgendwie selbst einspielen und wenn man es nicht kann (was wohl die Regel ist, wenn man nicht zwischendurch selbst mal ein bisschen in PHP programmiert) muss man es machen lassen.
Der Preis für ein Dateiabgleich bei gerade mal 6 Dateien druch einen routinierten Fachman hat mich ganz schön staunen lassen! Frag einfach mal über das Kontaktformular nach.

• http://www.modified-shop.org/forum/index.php?action=contact
  

Kann mir jemand oder einer der modified eCommerce Shopsoftwareod-Insider sagen, was durch die Lücken gestohlen worden sein kann? Bestellungen, Adressen UND/oder ganz wichtig Passwörter (und kann man die als Dieb verwenden)

Einfach so wird man das nicht sagen können. Ich würde bei einem eventuellen Einbruch immer vom Schlimmsten ausgehen.
Ich hoffe, ich habe nicht wieder zu viel gesagt!

Viele Grüße