Sicherheitsproblem in Gambio?

Thema wurde von marcel_halbich, 23. Januar 2024 erstellt.

  1. marcel_halbich

    marcel_halbich Erfahrener Benutzer

    Registriert seit:
    30. April 2017
    Beiträge:
    222
    Danke erhalten:
    11
    Danke vergeben:
    46
    Diese Mail haben wir gerade bekommen, normal würde ich eine Mail mit einem solchen Absender nicht ernst nehmen, aber auf reddit gibt es tatsächlich ein netsec und dort wurde eine solche Meldung gebracht, die von herolab veröffentlicht wurde.
    Link: https://herolab.usd.de/security-advisories/usd-2023-0046/
    Dort wird über die Schwachstelle berichtet und wie man sie hotfixen kann.
    Ich verstehe leider überhaupt nichts davon, aber ich wüsste gerne, ob das so stimmt und ob man den Hotfix nutzen sollte.


    Name: arnonym
    E-Mail: freeblocki@protonmail.com

    Sehr geehrte Damen und Herren,

    die Shopsoftware, welche Sie benutzen - Gambio - enthält kritische, nicht behobene Schwachstellen.
    Code zum Ausnutzen der Schwachstelle wurde gestern auf Reddit veröffentlicht (https://www.reddit.com/r/netsec/comments/19cuzgd/vulnerability_in_gambio_pertains_to_an_insecure/)

    Angreifende können somit automatisiert Ihren Shop übernehmen.
     
  2. Hilke (Gambio)

    Hilke (Gambio) Super-Moderator
    Mitarbeiter

    Registriert seit:
    18. Mai 2015
    Beiträge:
    467
    Danke erhalten:
    249
    Danke vergeben:
    409
    Hallo,

    wir sind darüber bereits informiert und prüfen das grade. Sollte sich das als tatsächliche Sicherheitslücke herausstellen, dann werden wir schnellstmöglich ein Sicherheitsupdate bereitstellen und in der Cloud den entsprechenden Patch ausrollen.
     
  3. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    274
    Danke erhalten:
    65
    Danke vergeben:
    80
    #3 ingo_scharp, 23. Januar 2024
    Zuletzt bearbeitet: 23. Januar 2024
    laut dem veröffentlichten Artikel wurde Gambio bereits an 08.12.2023 informiert.
    Wenn das so ist, verstehe ich nicht, dass die Schwachstelle nach knapp 7 Wochen nicht geschlossen wurde oder wir keinen Info von Gambio erhalten haben.
    Wichtig ist auch zu wissen, welche Module die entsprechende Datei nutzen. Kann man vielleicht bis zu einer Lösung auf die Datei verzichten? Das heißt einfach umbenennen.
    Selbsthoster können dort sehr schnell reagieren.....
    Ist die Version 4.8.0.2 auch betroffen?
     
  4. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.804
    Danke erhalten:
    950
    Danke vergeben:
    303
    #4 Christian Mueller, 23. Januar 2024
    Zuletzt bearbeitet: 23. Januar 2024
    Prüft Ihr das gerade oder prüft ihr das seit dem 08.12.2023?
    So wie das aussieht, haben die Entdecker der Schwachstelle in den letzten anderthalb Monaten bereits zwei Mal versucht Gambio zu kontaktieren.

    Verbessere mich bitte wenn mein Englisch zu schlecht ist, aber "request" sieht so aus, als hätten die keine Antwort bekommen. Wird bei Gambio jetzt so mit Zero-Day-Exploits umgegangen?
     
  5. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.791
    Danke erhalten:
    1.397
    Danke vergeben:
    306
    Unsere Sicherheitsexperten sind noch dabei das zu prüfen, sobald wir entsprechende Informationen haben, werden wir, wenn nötig, ein Patch bereitstellen.
     
  6. marcel_halbich

    marcel_halbich Erfahrener Benutzer

    Registriert seit:
    30. April 2017
    Beiträge:
    222
    Danke erhalten:
    11
    Danke vergeben:
    46
    Der vorgestellte Workaround, kann man den nutzen?
     
  7. tannenhof_imshausen

    tannenhof_imshausen Erfahrener Benutzer

    Registriert seit:
    26. Oktober 2022
    Beiträge:
    95
    Danke erhalten:
    26
    Danke vergeben:
    40
  8. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.791
    Danke erhalten:
    1.397
    Danke vergeben:
    306
    Wer den Paketshopfinder für DHL im Shop nicht aktiviert hat, kann die genannte Lösung zwar nutzen, aber es könnte dann andere Funktionen davon betroffen sein, daher ist die Lösung mit Vorsicht zu genießen.
     
  9. Marc Ohmert

    Marc Ohmert Erfahrener Benutzer

    Registriert seit:
    6. Februar 2018
    Beiträge:
    112
    Danke erhalten:
    33
    Danke vergeben:
    27
    Heisst das jetzt, daß Eure Sicherheitsexperten das seit dem 08.12.23 prüfen? Darauf wird überhaupt kein Bezug genommen. Einfach darüber hinweg gehen macht die Sache nicht besser. Also eine Sicherheitslücke seit über 1 1/2 Monaten? Nicht gut.
     
  10. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.804
    Danke erhalten:
    950
    Danke vergeben:
    303
    Und was ist mit den 4 anderen Fehlern?

    Adminpasswörter im Klartext im Log
    SQL-Injection
    Smarty Server Side Template Injection
    Shellcode-Ausführung durch PHP-Scripte die über den Content Manager hochgeladen werden können.

    Lieber @Till (Gambio)
    Das Schlimme sind nicht die Exploits.
    Das Schlimme ist, daß nicht daran gearbeitet wird bzw. kein Kontakt zu den Leuten aufgenommen wird, die die Exploits finden.

    Ihr habt ein Kommunikationsproblem!
     
  11. ingo_scharp

    ingo_scharp Erfahrener Benutzer

    Registriert seit:
    5. September 2018
    Beiträge:
    274
    Danke erhalten:
    65
    Danke vergeben:
    80
    #11 ingo_scharp, 24. Januar 2024
    Zuletzt bearbeitet: 24. Januar 2024
    wenn du oben auf englisch klickst, wird dir alles in Deutsch angezeigt.
    Alle Schwachstellen wurden als Hoch oder Kritisch eingestuft.

    Eigentlich sollten wir froh sein, das fremde Unternehmen das ganze noch mal durchleuchten, bevor ein Schaden durch Hacker entsteht. Null Kommunikationspolitik ist dort fehl am Platz. Und aussitzen hilft in der Regel auch nicht. Und warten bis das ganze öffentlich gemacht wird, ist kontraproduktiv. Die Veröffentlichung hätte vielleicht mit einer Mail verhindert werden können. Jetzt sind die Probleme frei zugänglich.
     

    Anhänge:

  12. Michael (Gambio)

    Michael (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    262
    Danke erhalten:
    439
    Danke vergeben:
    51
  13. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    13. Mai 2019
    Beiträge:
    514
    Danke erhalten:
    236
    Danke vergeben:
    158
    #13 Anonymous, 24. Januar 2024
    Zuletzt bearbeitet: 25. Februar 2024
    [gelöscht]
     
  14. marcel_halbich

    marcel_halbich Erfahrener Benutzer

    Registriert seit:
    30. April 2017
    Beiträge:
    222
    Danke erhalten:
    11
    Danke vergeben:
    46
    Ich weiß zwar nicht, warum man sich ausgerechnet unseren Shop ausgesucht hat, um das zu testen und zu informieren, aber im Nachhinein bin ich doch froh darüber. Ich bin paranoid genug um das direkt hier zu posten.
    Manchmal ist IT Paranoia wohl zu etwas gut.
    Ich hoffe nur, es war ein whitehack, der uns die Gastkonten übergebügelt hat.
     
  15. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    17. Oktober 2018
    Beiträge:
    140
    Danke erhalten:
    78
    Danke vergeben:
    18
    #15 Anonymous, 26. Januar 2024
    Zuletzt bearbeitet: 26. Januar 2024
    Das war eben ein freundlicher, hilfsbereiter Rollenspieler, vielleicht ein wohlmeinender Kunde, der Euch warnen wollte.

    Getestet haben das die Pentester von usd HeroLab nicht in Eurem Shop sondern höchstwahrscheinlich auf einer lokalen frischen Installation bei sich.

    Der Hammer bei dieser Sache ist aber, wie oben schon mehrfach angeklungen, dass gambio, bzw. Ecommerce One laut usd HeroLab zu allen 5 Schwachstellen erstmals am 8. Dezember 2023 kontaktiert wurde und seitdem Nichts passiert ist.
    Quelle: https://herolab.usd.de/security-advisories/usd-2023-0046/

    Es ist ausgesprochen negativ zu bewerten, wenn jmd. versucht einem Verantwortlichen Kenntnis von Sicherheitslücken in dessen Software mitzuteilen und er kein Gehör findet, bzw. keine Maßnahmen zur Beseitung ergriffen werden. Das ist absolut nicht zu entschuldigen und es zerstört das Vertrauen in den "Softwarelieferanten".

    Und zur "Krisenkommunikation", als die Katze dann aus dem Sack war, also die Lücken publik gemacht worden war, sag ich nur: Das muss besser gehen! Einen Newsletter zu verschicken, um auf ein Update oder neue Features hinzuweisen, habt Ihr (gambio) ja auch schon hinbekommen.
     
  16. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.791
    Danke erhalten:
    1.397
    Danke vergeben:
    306
    Wir werden die Kommunikation verbessern und haben jetzt entsprechende Kanäle eingerichtet, an die uns Sicherheitsrelevante Informationen zugesendet werden können um diese in Zukunft mit höhere Priorität behandeln zu können.
     
  17. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.126
    Danke erhalten:
    89
    Danke vergeben:
    90
    Sieht düster aus, liebes Gambio... will dich Ecommerce One überhaupt noch? Ich bin mir auch nicht sicher, eröffne mir wohl demnächst einen Account auf ecommerce-tinder :mad:
     
  18. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.791
    Danke erhalten:
    1.397
    Danke vergeben:
    306
    Ich bitte dich solche Aussage zu unterlassen, so etwas gehört hier nicht hin. Wir werden hier konstruktiv miteinander umgehen und uns Kritik zu Herzen nehmen um die Situation zu verbessern, aber solche Aussagen tragen NULL dazu bei. Ihr könnt hier gerne weiter in einem angenehmen Ton diskutieren.
    Ich werden den Beitrag jetzt nicht löschen, damit der Kontext nicht verloren geht.

    @sirtet Du kannst gerne konstruktive Kritik äußern, dann aber bitte mit konkreten Informationen um eine vernünftige Grundlagen für eine Diskussion zu haben.
     
  19. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.791
    Danke erhalten:
    1.397
    Danke vergeben:
    306
    Wir stehen übriges mit den Sicherheitsexperten von USG Herolab in Kontakt, die Kommunikation ist bereits hergestellt und werden die noch offenen gemeldeten Schwachstellen mit dem nächsten geplanten Update korrigieren.
     
  20. Alexander P.

    Alexander P. Aktives Mitglied

    Registriert seit:
    25. August 2011
    Beiträge:
    36
    Danke erhalten:
    15
    Danke vergeben:
    15
    Ich hoffe es kommt ein schnelles Sicherheitsupdate für die Schwachstellen.

    Ein komplettes Softwareupdate erspare ich mir derzeit lieber bei dem technischem Stand der letzten Updates.

    Es kommt ja kaum noch ein funktionierendes Update raus, was auf Anhieb funktioniert. Das letzte Jahr war wirklich kein sonderlich gutes Jahr mit Gambio.