Sicherheitslücke im modified Shop < 1.06

[KAT]

Kam gerade per Mail:

Werte Shopbetreiber,

wir haben eine Sicherheitslücke entdeckt, die es ermöglicht, alle Kundendaten aus dem Shopsystem xt:Commerce 3 und modified eCommerce Shopsoftware 1.05 auszulesen. Wir wollen Sie auf diesem Wege informieren, da sowohl von heise.de wie auch vom BSI diese Sicherheitslücke im Laufe des Tages offiziell bekannt gegeben wird. Wir haben ein entsprechendesn Fix für diese beiden Shopsysteme erarbeitet und bitten alle, die es betrifft, diesen Fix umgehend einzubauen.

Sie sollten diesen Sicherheitshinweis sehr ernst nehmen, da die Sicherheitslücke bereist aktiv aufgenutzt wird und ohne diesen Fix Ihre gesamte Kundendatenbank ausgelesen werden kann.

Was sagt das Entwicklerteam? 

Linkback: https://www.modified-shop.org/forum/index.php?topic=28891.0

[0815]

Im aktuellen Shop ist die kleine Änderung schon berücksichtig, weshalb es wohl in Versionen < 1.06. ebenso eingebaut werden kann und sollte.

Ich habe die Änderung bereits übernommen und konnte keine Probleme feststellen.

[Kawabiker]

Soweit ich es sehen kann ist diese Änderung bereits ab der Version 1.05 SP1 enthalten.

Die Änderung war im Paket

update_modified eCommerce Shopsoftware-1.05_to_1.05-SP1

 

[Phantom]

Ich habe das Ursprunsposting nun 3 mal gelesen. Woher wisst Ihr, um welche Lücke oder welchen Fix es hier geht?

[KAT]

@Phantom

Infos zur Lücke kommen generell nur von den Entwicklern. Wir wissen über die Lücke durch "gute Vernetzung". 

Vielleicht kommt ja gleich ein Statement von der mod-Regierung.

LG KAT

FIX im Anhang, ohne Gewähr.

[Phantom]

@Kat
Das sieht für mich nach unnötiger Panikmache aus. Du zitierst eine Mail ohne Quellenangabe. In der Mail wird auf einen Fix hingewiesen. Warum gibt es keinen Link zu dem Fix?

Edit: Der Fix war vor meinem Posting da.

[KAT]

... siehe mein Posting über Dir! 

[Phantom]

Siehe Antwort von Kawabiker. Ich habe nicht alle Versionen hier, aber in 1.05 SP1a ist der Fix schon drin.

[GTB]

Hallo,

die Lücke ist bestätigt und betrifft alle Versionen von modified eCommerce bis zur Version 1.05

Ab SP1 ist die Lücke bereits geschlossen.

Gruss Gerhard

[KAT]

@Phantom

Es gibt aber sehr viele Shops, diie eben nicht "up to date" sind und genau für die sollte die Info sein.
Wenn die Regierung das als nicht "Publikationswichtig! betrachtet, bitte.

Ich bin jedenfalls immer dankbar über alle Infos, zumal die Lücke ja aktiv ausgenutzt wird. (lt. Mail)

LG KAT

[Phantom]

Infos über Sicherheitslücken sind schon wichtig, aber sowas sollte zeitnah erfolgen. Die 1.05 SP1 ist doch gefühlt schon mindestens ein Jahr alt. Mich würde mal interessieren, wer solche "veralteten" Newsletter verschickt.

[KAT]

@Phantom

Jetzt zweifel ich aber wirklich an Deinem "Verständnis". Oh Herr ... 

[GTB]

Hallo,

ja, wir haben dies bereits schon vor einiger Zeit gefixt. Allerdings ist uns die Tragweite der Lücke erst jetzt aufgezeigt worden. Deshalb die Information dazu.

Für weitere Beträge geht es hier weiter: Sicherheitspatch für Versionen bis 1.05

Gruss Gerhard