10.01.2014 17:03Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklautEine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 230.000 Kunden vor allem aus Deutschland und Österreich. Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified; die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO[1], die auch einen Server im Internet lokalisierten, der geklaute Datensätze enthielt. heise Security stellte bei einer schnellen Sichtung fest, dass es sich bei den dort abgelegten Passwort-Dumps größtenteils um ungesalzene MD5-Hashes handelt, die halbwegs ernsthaften Knackversuchen nicht viel Widerstand entgegensetzen. Die mittlerweile informierten Shop-Betreiber sollten also ihre Kunden warnen, dass das Passwort kompromittiert wurde. Ein schneller Check förderte immerhin über 231.000 verschiedene E-Mail-Adressen vor allem aus Deutschland und Österreich zu Tage.xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat entdeckten Lücke[2] signalisierte der Hersteller, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Commerce:SEO stellt einen Fix[3] bereit, der auch xt:Commerce 3 und modified eCommerce Shopsoftware 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen.
Begonnen von spiegelid am Off Topic
Begonnen von Bernny_H_ am Stellt euren Shop vor
Begonnen von FD am Stellt euren Shop vor
Begonnen von wolf_21 am Installation / Update