Wir haben in letzter Zeit relativ aufwändige Security-Checks durchgeführt. Dabei sind wir nun auf eine Sicherheitslücke gestoßen, die wir als äußerst kritisch einstufen. Über diese XSS Lücke ist es möglich, dass ein Angreifer einen Admin-Zugang erhalten und somit praktisch den gesamten Shop und sämtliche Daten unter seine Kontrolle bringen kann. Ab Version 2.0.14 ist diese Lücke bereits geschlossen, wobei es sich dabei eher um einen Zufall handelt. Alle älteren Gambio-Versionen sowie vermutlich auch alle anderen auf xtc 2 oder 3 basierenden Systeme dürften ebenfalls von der Sicherheitslücke betroffen sein - letzte Tests laufen noch. Die uns bekannten Anbieter werden wir selbstverständlich benachrichtigen. Da wir diese Lücke, wie schon gesagt, für sehr kritisch halten, werden wir einen entsprechenden Patch zur Verfügung stellen und alle Shopbetreiber per E-Mail und Admin-News informieren. Die Lücke ist zum Glück sehr einfach zu schließen. Geht dazu einfach wie nachfolgend beschrieben vor (Geeignet für sämtliche GX1 und GX2 Versionen). Sucht in der Datei "admin/whos_online.php" nach der Zeile PHP: while ($whos_online = xtc_db_fetch_array($whos_online_query)) { und fügt unter dieser Zeile folgendes ein: PHP: $whos_online['last_page_url'] =htmlentities($whos_online['last_page_url']); Bitte habt Verständnis, dass wir momentan noch keine Details veröffentlichen können, die zum Ausnutzen der Lücke genutzt werden könnten. Bevor Details bekannt geben, möchten wir allen Shopbetreibern genügen Zeit zum Schließen der Lücke geben. Im Moment machen wir noch einige Tests und bereiten den Patch vor, bevor wir mit den offiziellen Benachrichtigungen beginnen. Obwowhl wir die Lücke als sehr kritisch einstufen, gibt es keinen Grund zur Panik. Die Lücke ist bereits seit vielen Jahren vorhanden und wurde bislang offenbar weder entdeckt noch ausgenutzt. Trotzdem sollte sie nun schnellstmöglich geschlossen werden, da die Gefahr mit dem Bekanntwerden der Lücke natürlich steigt. Wir halten Euch natürlich auf dem Laufenden...
So, wir haben eben einen Patch ins Portal gestellt. Außerdem wurden alle Shopbetreiber per Admin-News und Mailing informiert. Wäre klasse wenn Ihr betroffene Shopbetreiber und Systemanbieter die wir evtl. nicht erreichen können (auch andere Systeme sind betroffen) ebenfalls informieren würdet. Wir machen dann mal Support... ;-)
Im Portal ist zu lesen: Kann ich aber nicht bestätigen! Im Download der Vollversion 14.1 sieht das noch so aus: PHP: while ($whos_online = xtc_db_fetch_array($whos_online_query)) { $time_online = (time() - $whos_online['time_entry']);//BOF_GM_MOD if ( ((!$_GET['info']) || (@$_GET['info'] == $whos_online['session_id'])) && (!$info) ) { und nicht so: PHP: while ($whos_online = xtc_db_fetch_array($whos_online_query)) { $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); $time_online = (time() - $whos_online['time_entry']);//BOF_GM_MOD if ( ((!$_GET['info']) || (@$_GET['info'] == $whos_online['session_id'])) && (!$info) ) {
Also, das ist ja unglaublich, ich habe das gerade geprüft, dem ist wirklich so, wist Ihr in was für Probleme ihr mich und andere damit bringen könnt!
Es sieht in 2.0.14.x aber vor allem so aus: PHP: <td class="dataTableContent" colspan="5"><?php echo htmlentities_wrapper($whos_online['last_page_url']); ?></td> Also, der Fix ist nur an einer anderen Stelle.
Das Wichtigste nochmal vorweg: Ab Version 2.0.14 ist die Lücke bereits geschlossen! Marco hat es korrekt beschrieben, der Fix taucht dort nur an einer anderen Stelle auf. Der Grund ist, dass wir die Lücke mit 2.0.14 eher zufällig geschlossen haben, ohne diese konkrete Lücke dabei im Sinn gehabt zu haben. Die Wirkung ist aber dieselbe. Für den Patch haben wir uns dann für eine andere Stelle entschieden, da wir ihn so noch einfacher halten konnten.
Ist es eigentlich egal ob man das Security Patch instaliiert oder nur wie oben beschrieben, diese Zeile einfügt? Und woher weiß ich das es geklappt hat? Würde mich über eine Antwort freuen Viele Grüße Juliette
Zu 1.: Ja Zu 2.: Wenn Du nach der Änderung kontrollierst, dass diese wirklich auf Deinem Server vorhanden ist, kannst Du davon ausgehen dass es geklappt hat. Die Methode diese Lücke auszunutzen wurde ja aus gutem Grund nicht veröffentlicht.
Hallo,ich bin noch ganz neu hier. habe also noch nicht so den plan ;-) habe mir jetzt das security patch installiert und nun steht dies in der Anleitung: 2. Installation Laden Sie den Inhalt des Verzeichnisses "Shopdateien" in das Hauptverzeichnis Ihres Shops hoch. Bereits existierende Dateien und Verzeichnisse können dabei überschrieben werden. Wo finde ich denn mein hauptverzeichnis meines Shops? sorry aber wie gesagt für mich ist noch alles ganz neu. liebe grüße und danke schon im voraus für die antwort Gudrun
schau doch erst mal im admin bereich oben rechts welche Shopversion du hast. wenn da was von 2.0.14.x steht bist save und musst erst mal nix machen. Wenn da was von 2.13.x oder kleiner steht dann meld dich noch mal.
Hallo, Das selbe frage werde ich stellen und zwar unsere Version ist derzeit v2.0.12.2 und möchte gerne es updaten zu 2.0.14.. Wie kann ich es machen? Wo steht genau mein hauptverzeichnis meines Shops? Danke für eure Hilfe Vielen Dank
Hallo Hasan, das Hauptverzeichnis Deines Shops ist da, wo die Ordner admin, cache, includes, templates und so weiter sind. Du brauchst 2 SPs, 1. das 2.0.13.3 und danach das 2.0.14.4 Eine genaue Anleitung ist jeweils enthalten. P.S. willkommen im Forum
Hallo Barbara, Danke für dein Antwort. Sorry ich bin relativ neu und kenne nicht gut aus. Ich wollte noch fragen wo befindet sich genau 2SPs und genaue Anleitung. Vielen Dank
Hallo Dennis, Vielen Dank für dein Antwort aber bei mir sowas ist nicht ersichtlich.Deswegen frage ich, ob es in irgenwelche Menü im Adminbereich steht? 7 Eine andere Frage, für Updates braucht man ftp server? Wie gesagt ich kenne damit sehr wenig aus. Danke für die Hilfe Viele Grüße
Hier im Forum oben steht ein Button: POrtal Da sind die SPs (Service Packs) unter downloads. Da steht immer bei für welche Shop-Version das jeweilige SP ist. In den Downloads sind auch die Anleitungen. Und der Rat der als erstes in den Anleitungen steht bitte ernst nehmen: SICHERUNGEN erstellen. Keine Sicherung und es kommt ein Fehler = selbst schuld.