Thema: modified shop 1.05d unsicher? Heise online vom 10.01.14

cschiller · **am:** 13. Januar 2014, 10:40:55

Hallo zusammen,

ist der Sicherheitspatch dafür ausreichend?

Zitat Heise online v. 10.01.2014

Zitat

10.01.2014 17:03

Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut

Eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 230.000 Kunden vor allem aus Deutschland und Österreich. Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified; die Varianten xt:Commerce 4, Gambio und die aktuelle Version commerce:SEO sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO[1], die auch einen Server im Internet lokalisierten, der geklaute Datensätze enthielt. heise Security stellte bei einer schnellen Sichtung fest, dass es sich bei den dort abgelegten Passwort-Dumps größtenteils um ungesalzene MD5-Hashes handelt, die halbwegs ernsthaften Knackversuchen nicht viel Widerstand entgegensetzen. Die mittlerweile informierten Shop-Betreiber sollten also ihre Kunden warnen, dass das Passwort kompromittiert wurde. Ein schneller Check förderte immerhin über 231.000 verschiedene E-Mail-Adressen vor allem aus Deutschland und Österreich zu Tage.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat entdeckten Lücke[2] signalisierte der Hersteller, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Commerce:SEO stellt einen Fix[3] bereit, der auch xt:Commerce 3 und modified eCommerce Shopsoftware 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen.

Gruß Carsten

Linkback: https://www.modified-shop.org/forum/index.php?topic=28912.0

Modulfux · **Antwort #1 am:** 13. Januar 2014, 10:42:11

Ja.

Gruß
Ronny

cschiller · **Antwort #2 am:** 13. Januar 2014, 10:45:36

Hallo Ronny!

Vielen Dank für die schnelle Antwort.

Gruß Carsten

h-h-h · **Antwort #3 am:** 13. Januar 2014, 13:55:50

Der Artikel wurde nach einer Information von mir heute vom heise Security Chefredakteur aktualisiert.

http://www.heise.de/newsticker/meldung/Schon-wieder-hunderttausende-Kundendaten-durch-xt-Commerce-Luecke-geklaut-2083403.html

Viele Grüße,

h-h-h

Thema: modified shop 1.05d unsicher? Heise online vom 10.01.14

cschiller

modified shop 1.05d unsicher? Heise online vom 10.01.14

Modulfux

Re: modified shop 1.05d unsicher? Heise online vom 10.01.14

cschiller

Re: modified shop 1.05d unsicher? Heise online vom 10.01.14

h-h-h

Re: modified shop 1.05d unsicher? Heise online vom 10.01.14

Teile Thema

Ähnliche Themen

WARENKORB von modified eCommerce SICHER, oder UNSICHER?

Mein neuer modified Shop ist online!

fd-modellbau.de Online und Danke an die Jungs von modified-shop

Update von v2.0.3.0 rev 10907 zu 2.0.6.0 rev 13500, bin unsicher