Diese Mail haben wir gerade bekommen, normal würde ich eine Mail mit einem solchen Absender nicht ernst nehmen, aber auf reddit gibt es tatsächlich ein netsec und dort wurde eine solche Meldung gebracht, die von herolab veröffentlicht wurde. Link: https://herolab.usd.de/security-advisories/usd-2023-0046/ Dort wird über die Schwachstelle berichtet und wie man sie hotfixen kann. Ich verstehe leider überhaupt nichts davon, aber ich wüsste gerne, ob das so stimmt und ob man den Hotfix nutzen sollte. Name: arnonym E-Mail: freeblocki@protonmail.com Sehr geehrte Damen und Herren, die Shopsoftware, welche Sie benutzen - Gambio - enthält kritische, nicht behobene Schwachstellen. Code zum Ausnutzen der Schwachstelle wurde gestern auf Reddit veröffentlicht (https://www.reddit.com/r/netsec/comments/19cuzgd/vulnerability_in_gambio_pertains_to_an_insecure/) Angreifende können somit automatisiert Ihren Shop übernehmen.
Hallo, wir sind darüber bereits informiert und prüfen das grade. Sollte sich das als tatsächliche Sicherheitslücke herausstellen, dann werden wir schnellstmöglich ein Sicherheitsupdate bereitstellen und in der Cloud den entsprechenden Patch ausrollen.
laut dem veröffentlichten Artikel wurde Gambio bereits an 08.12.2023 informiert. Wenn das so ist, verstehe ich nicht, dass die Schwachstelle nach knapp 7 Wochen nicht geschlossen wurde oder wir keinen Info von Gambio erhalten haben. Wichtig ist auch zu wissen, welche Module die entsprechende Datei nutzen. Kann man vielleicht bis zu einer Lösung auf die Datei verzichten? Das heißt einfach umbenennen. Selbsthoster können dort sehr schnell reagieren..... Ist die Version 4.8.0.2 auch betroffen?
Prüft Ihr das gerade oder prüft ihr das seit dem 08.12.2023? So wie das aussieht, haben die Entdecker der Schwachstelle in den letzten anderthalb Monaten bereits zwei Mal versucht Gambio zu kontaktieren. Verbessere mich bitte wenn mein Englisch zu schlecht ist, aber "request" sieht so aus, als hätten die keine Antwort bekommen. Wird bei Gambio jetzt so mit Zero-Day-Exploits umgegangen?
Unsere Sicherheitsexperten sind noch dabei das zu prüfen, sobald wir entsprechende Informationen haben, werden wir, wenn nötig, ein Patch bereitstellen.
Wer den Paketshopfinder für DHL im Shop nicht aktiviert hat, kann die genannte Lösung zwar nutzen, aber es könnte dann andere Funktionen davon betroffen sein, daher ist die Lösung mit Vorsicht zu genießen.
Heisst das jetzt, daß Eure Sicherheitsexperten das seit dem 08.12.23 prüfen? Darauf wird überhaupt kein Bezug genommen. Einfach darüber hinweg gehen macht die Sache nicht besser. Also eine Sicherheitslücke seit über 1 1/2 Monaten? Nicht gut.
Und was ist mit den 4 anderen Fehlern? Adminpasswörter im Klartext im Log SQL-Injection Smarty Server Side Template Injection Shellcode-Ausführung durch PHP-Scripte die über den Content Manager hochgeladen werden können. Lieber @Till (Gambio) Das Schlimme sind nicht die Exploits. Das Schlimme ist, daß nicht daran gearbeitet wird bzw. kein Kontakt zu den Leuten aufgenommen wird, die die Exploits finden. Ihr habt ein Kommunikationsproblem!
wenn du oben auf englisch klickst, wird dir alles in Deutsch angezeigt. Alle Schwachstellen wurden als Hoch oder Kritisch eingestuft. Eigentlich sollten wir froh sein, das fremde Unternehmen das ganze noch mal durchleuchten, bevor ein Schaden durch Hacker entsteht. Null Kommunikationspolitik ist dort fehl am Platz. Und aussitzen hilft in der Regel auch nicht. Und warten bis das ganze öffentlich gemacht wird, ist kontraproduktiv. Die Veröffentlichung hätte vielleicht mit einer Mail verhindert werden können. Jetzt sind die Probleme frei zugänglich.
Hallo liebe Shopbetreiber! Ich habe soeben einen separaten Beitrag dazu im Forum unter folgendem Link veröffentlicht, wo ihr auch gleich das Security Update herunterladen könnt: https://www.gambio.de/forum/threads/wichtiges-security-update-2024-01-v1-0-fuer-gx4-v4-9-2-0.50827/
Ich weiß zwar nicht, warum man sich ausgerechnet unseren Shop ausgesucht hat, um das zu testen und zu informieren, aber im Nachhinein bin ich doch froh darüber. Ich bin paranoid genug um das direkt hier zu posten. Manchmal ist IT Paranoia wohl zu etwas gut. Ich hoffe nur, es war ein whitehack, der uns die Gastkonten übergebügelt hat.
Das war eben ein freundlicher, hilfsbereiter Rollenspieler, vielleicht ein wohlmeinender Kunde, der Euch warnen wollte. Getestet haben das die Pentester von usd HeroLab nicht in Eurem Shop sondern höchstwahrscheinlich auf einer lokalen frischen Installation bei sich. Der Hammer bei dieser Sache ist aber, wie oben schon mehrfach angeklungen, dass gambio, bzw. Ecommerce One laut usd HeroLab zu allen 5 Schwachstellen erstmals am 8. Dezember 2023 kontaktiert wurde und seitdem Nichts passiert ist. Quelle: https://herolab.usd.de/security-advisories/usd-2023-0046/ Es ist ausgesprochen negativ zu bewerten, wenn jmd. versucht einem Verantwortlichen Kenntnis von Sicherheitslücken in dessen Software mitzuteilen und er kein Gehör findet, bzw. keine Maßnahmen zur Beseitung ergriffen werden. Das ist absolut nicht zu entschuldigen und es zerstört das Vertrauen in den "Softwarelieferanten". Und zur "Krisenkommunikation", als die Katze dann aus dem Sack war, also die Lücken publik gemacht worden war, sag ich nur: Das muss besser gehen! Einen Newsletter zu verschicken, um auf ein Update oder neue Features hinzuweisen, habt Ihr (gambio) ja auch schon hinbekommen.
Wir werden die Kommunikation verbessern und haben jetzt entsprechende Kanäle eingerichtet, an die uns Sicherheitsrelevante Informationen zugesendet werden können um diese in Zukunft mit höhere Priorität behandeln zu können.
Sieht düster aus, liebes Gambio... will dich Ecommerce One überhaupt noch? Ich bin mir auch nicht sicher, eröffne mir wohl demnächst einen Account auf ecommerce-tinder
Ich bitte dich solche Aussage zu unterlassen, so etwas gehört hier nicht hin. Wir werden hier konstruktiv miteinander umgehen und uns Kritik zu Herzen nehmen um die Situation zu verbessern, aber solche Aussagen tragen NULL dazu bei. Ihr könnt hier gerne weiter in einem angenehmen Ton diskutieren. Ich werden den Beitrag jetzt nicht löschen, damit der Kontext nicht verloren geht. @sirtet Du kannst gerne konstruktive Kritik äußern, dann aber bitte mit konkreten Informationen um eine vernünftige Grundlagen für eine Diskussion zu haben.
Wir stehen übriges mit den Sicherheitsexperten von USG Herolab in Kontakt, die Kommunikation ist bereits hergestellt und werden die noch offenen gemeldeten Schwachstellen mit dem nächsten geplanten Update korrigieren.
Ich hoffe es kommt ein schnelles Sicherheitsupdate für die Schwachstellen. Ein komplettes Softwareupdate erspare ich mir derzeit lieber bei dem technischem Stand der letzten Updates. Es kommt ja kaum noch ein funktionierendes Update raus, was auf Anhieb funktioniert. Das letzte Jahr war wirklich kein sonderlich gutes Jahr mit Gambio.