Bugfix für SQL Injection für modified eCommerce Shopsoftware Shops vor Version 1.05

[Tomcraft]

Durch einen Fehler in der PHP-Funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator-Passwort auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden. Aus Sicherheitsgründen wird die genaue Vorgehensweise nicht näher dargelegt. Eine sofortige Installation des Patches wird für modified eCommerce Shopsoftware Shops vor Version 1.05 dringend empfohlen.

Download hier: BUGFIX: SQL Injection
Bugfix für SQL Injection für modified eCommerce Shopsoftware Shops vor Version 1.05


Linkback: https://www.modified-shop.org/forum/index.php?topic=11243.0

[Anonym]

Kann es sein, dass die nullbyte injection nicht auf allen Servern funktioniert?
Ich habe es jetzt auf zwei Testsystemen ausprobiert und in beiden Fällen meldet mir der Shop:

Ihre eingegebene eMail-Adresse ist fehlerhaft – bitte überprüfen Sie diese.

Beide Testsysteme schneiden die Eingabe offensichtlich nicht bei der versuchten nullbyte injection sondern werten die komplette Eingabe inkl. nullbyte und sql-injection als Mailadresse.

Damit will ich hier keinesfalls Entwarnung geben sondern wundere mich nur, dass es scheinbar serverabhängig ist.

[cYbercOsmOnauT]

Kannst Du mal bitte folgendes testen?

In der /inc/xtc_validate_email.php die Zeile (natürlich ist da normalerweise kein Abstand zwischen Backslash und 0, aber das kann man hier im Board nicht schreiben. Es wird gelöscht.)

Code: PHP  [Auswählen]

if (strpos($email,"\ 0")!==false) {return false;}

ersetzen durch

Code: PHP  [Auswählen]

if (strpos($email,chr(0))!==false) {return false;}

und schauen ob es dann geht?
Wenn nicht, dann ändere die Zeile in

Code: PHP  [Auswählen]

$email = str_replace(chr(0), '', $email);

Die letzte Methode löscht einfach alle Nullbytes aus dem E-Mail String. Das müsste dann auf jeden Fall klappen.

Grüße,
Tekin

[p3e]

Hallo Tekin,

da hast Du mich falsch verstanden oder ich habe mich blöd ausgedrückt.
Das "return false;" beim "nullbyte" funktioniert sicher bestens.

Ich wollte aber an zwei Testsystemen von mir (beide xt:Commerce 3.0.4 SP2.1)  diese sql-injection einfach mal durchspielen, bevor ich den Patch mache. Dabei habe ich festgestellt, dass die sql-injection fehlschlug, da das Backslash scheinbar schon vorher abgefangen wurde. Kann es sein, dass es PHP-Versionen gibt, wo die "eregi" Funktion bezüglich dem "nullbyte" "entschärft" wurde oder dass das Backslash bereits woanders abgefangen wird?
Den Patch habe ich natürlich trotzdem eingespielt.

Grüße

Klaus

[DokuMan]

@p3e: laufen deine Testsysteme auf Hostern mit PHP suhosin-patch?

[p3e]

Ja.

[Phantom]

Ich kann das nicht bewerten, aber es gibt wohl mehrere Nullbyte-Varianten, die nicht alle mit diesem Fix abgefangen werden.

Fix für den Fix: xt:Commerce v3.0.X eregi (Nullbyte Injection) SQL Injection

[cYbercOsmOnauT]

Sorry aber das verstehe ich nicht ganz. Ich schlüssel einmal auf (die Spaces sind drin damit das Board es frisst)...
"\ 0" <- Die ASCII Variante
"\x00", <- So schreibt man einen ASCII Wert in Hex
"\u0000" <- Selbiges in Unicode-Schreibweise
"\ 000" <- Oktale Schreibweise des Zeichens

Alle diese Strings führen zu ein und demselben Zeichen, dem Nullbyte aka ASCII 0. Es sind nur verschiedene Schreibweisen um PHP zu sagen welches Zeichen man sucht. Nach dieser Logik müsste auch chr(0) in der Liste stehen.

Grüße,
Tekin

[DokuMan]

Tekins Vorschlag mit

Code: PHP  [Auswählen]

$file = str_replace(chr(0), '', $string);

sollte alle Varianten abdecken!

Siehe auch:

• Null Byte Poison - How it works...
• Poison Null Byte - PHP

[Tomcraft]

Sollten wir den Fix also nochmal überarbeiten?

Grüße

Torsten

[cYbercOsmOnauT]

Meine Meinung: Nein, denn a) macht sich Monkey Buisiness mit Halbwissen nur wichtig und b) existiert im modified eCommerce Shopsoftware schon seit geraumer Zeit kein eregi mehr und wurde durch preg_match ersetzt was sowieso nicht anfällig ist.

Im August letzten Jahres wurden jedenfalls sämtliche eregi durch preg_match ersetzt.

[Tomcraft]

Argh... okay, wir haben ja schon die von dir empfohlene Variante im Fix drin.

Grüße

Torsten

[mizzy]

Ich hab zu dem Bufix eine andere triviale Frage.

Oben steht:

[...] Eine sofortige Installation des Patches wird für modified eCommerce Shopsoftware Shops vor Version 1.05 dringend empfohlen.
[...]

Da ich einen 1.05 installiert habe, bin ich davon ausgegangen, das der Patch für
meinen Shop nicht relevant ist. Im Fix finden sich aber auch Dateien für 1.05.

Anderseits steht in der Anleitung:

[...]
Eine sofortige Installation des Patches wird für modified eCommerce Shopsoftware Shops vor Version 1.05 dringend empfohlen.

Alternativ empfehlen wir ein Update auf modified eCommerce Shopsoftware 1.05.
[...]

Das ist ein wenig verwirrend.

Muss das Patch in einen 1.05 eingespielt werden, oder nicht, da der Fix ja auch geänderte Dateien für 1.05 enthält.

Viele Grüße
Micha

[GTB]

Hallo Micha,

der Fix ist auch für 1.05 zu empfehlen, primär für die "passwort_double_opt.php" da dort die email Adresse unescaped für die DB Abfrage verwendet wurde, was dazu führen konnte, dass ein Kunde sich das Passwort nicht anfragen konnte.

Deshalb ist es zu empfehlen, den Fix auch für die 1.05 einzuspielen.

Gruss Gerhard

[cYbercOsmOnauT]

Der Patch ist für modified eCommerce Shopsoftware 1.05 nicht zwingend notwendig, aber schaden kann es auch nicht.