Kritische Sicherheitslücke in allen Modified Versionen

[fishnet]

Hallo Modified Team,
ihr habt laut Bugtracker gestern eine kritische Sicherheitslücke gefixt.
WANN WIRD DER FIX VERÖFFENTLICHT ???

Linkback: https://www.modified-shop.org/forum/index.php?topic=31955.0

[Bonsai]

[WayneTsun]

[ralph_84]

:

[Tomcraft]

Hallo Modified Team,
ihr habt laut Bugtracker gestern eine kritische Sicherheitslücke gefixt.
WANN WIRD DER FIX VERÖFFENTLICHT ???

Wenn er fertig und getestet ist.

Grüße

Torsten

[fishnet]

Können wir Euch helfen?
Könnt Ihr uns die Daten senden?
Wir haben aktuell einen Kunden der vermutlich über genau diese Lücke gezielt angegriffen wird. Der wird wohl offline bleiben müssen, bis der Fix da ist.

[Bonsai]

Schön wäre eine kurze Beschreibung auf was man achten muss um festzustellen, dass man angegriffen wird ...

[fishnet]

Ich kann dir gerne eine Beschreibung nennen. Erst heulten beim Aufruf des Shops die Virenscanner,
weil in der Produktbeschreibung überall ein Java redirect Virus war. Nach dem dritten Entfernen (ja, und natürlich Passwörter ändern) kam dann statt des Virus (und statt der Produktbeschreibung) ein "fuck you".

[Bonsai]

Danke!

[mahagma]

@Tomcraft

Hallo, ich verstehe ja, dass man mit so einem Projekt wie dem modified-Webshop viel um die Ohren hat. Und dann kann einem so eine fett geschriebene Frage ja auch unhöflich vorkommen. Aber mehr als einen Satz als Antwort wäre doch ganz nett.

[WayneTsun]

Was soll er denn Deiner Meinung nach noch sagen? Ist doch ganz eindeutig, oder was verstehst Du grad nicht daran?

Beste Grüße,
Wayne

[fishnet]

Ich finde es sehr schade, wenn ich auf Hilfs- und Finanzierungsangebote keine Antwort bekomme, aber es ist ja nicht das erste Mal.

[Matt]

Es geht hier wohl um eine CSRF-Lücke, die geschlossen wurde. Dein Problem liest sich eher wie ein infizierter Rechner, über den der Shop gewartet wird.

[fishnet]

Das können wir ausschließen. Zum Zeitpunkt des dritten Angriffs gab es u.a. keinen gültigen FTP Zugang. Aber selbst wenn, ändert das nichts an meiner Kritik an mangelnder Kommunikation und Nicht-Reaktion auf Finanzierungsangebote um Dinge zu beschleunigen. Letzteres gebe ich jetzt einfach auf. Da ist Hopfen und Malz verloren.

[fishnet]

Problem gefunden, der Händler hatte schon seit einiger Zeit Bytecode in seinen Bildern....
In der aktuellen Situation würden wir jedem Händler empfehlen, einen htaccess Zugang vor den Adminordner zu setzen.