Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: Sicherheitspatch für Versionen bis 1.05

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 6.213
    • Geschlecht:
    Sicherheitspatch für Versionen bis 1.05
    am: 10. Januar 2014, 14:41:34
    Liebe Community,

    wir wurden auf eine Sicherheitslücke aufmerksam gemacht, die wir euch hiermit weitergeben.

    Es muss dazu lediglich eine Datei ausgetauscht werden. Diese kann problemlos in alle Shopversionen eingespielt werden.

    Dazu einfach die Datei aus dem Paket ersetzen.

    Download des Fixes: Klick mich

    Nachtrag: Da die Frage jetzt mehrmals aufkam. Ab Shopversion 1.05 SP1 ist der Fix nicht mehr notwendig!

    An der Stelle auch herzlichen Dank für die Info an Herrn Kausch von Webdesign Erfurt.

    Wir wünschen euch weiterhin gute Geschäfte und viel Spass mit unserer Shopsoftware.

    Euer modified eCommerce Shopsoftware Team

    [EDIT Tomcraft 10.01.2014: Fix-Paket in Download-Manager umgezogen.]

    Linkback: https://www.modified-shop.org/forum/index.php?topic=28894.0

    baerchen99

    • Neu im Forum
    • Beiträge: 4
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #1 am: 10. Januar 2014, 15:20:09
    Hallo,

    ich habe heute (10.01.2014) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die folgende Information erhalten:

    Zitat
    Es handelt sich anscheinend um eine SQL injection 0Day-Lücke in der Sofortkauf-Funktion in xt:commerce 3.
    Die Entwickler von xt:Commerce wurden unserer Kenntnis nach bereits benachrichtigt.

    Sprechen wir hier von dem selben Problem bzw. dessen Behebung?

    fishnet

    • Fördermitglied
    • Beiträge: 4.853
    • Geschlecht:
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #2 am: 10. Januar 2014, 15:24:36
    Hallo GTB,
    d.h. Ihr habt die Lücke verifiziert, oder einfach nur vom Finder übernommen? *duckundwech*
     :flee-mrgreen:

    commerceSEO

    • Neu im Forum
    • Beiträge: 2
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #3 am: 10. Januar 2014, 15:27:00
    Ja, genau darum geht es. Es sollte momentan noch nicht allzu viel über Details spekuliert werden! Es sollten erst einmal so viele wie möglich informiert werden, damit man noch handeln kann. Es sollte sich aber jeder der Tragweite bewusst sein, denn ohne dieses Update kann man quasi alle Kundendaten aus alten Shops auslesen. Wen es nicht betrifft, gut, wen es betrifft, der SOLLTE JETZT handeln. Wie Du festgestellt hast, ist das BSI auch von uns informiert worden!

    Bei dieser Lücke wurde Projektübergreifend gearbeitet, also Gambio und die Kollegen hier wurden vorher informiert.

    Webdesign Erfurt

    fishnet

    • Fördermitglied
    • Beiträge: 4.853
    • Geschlecht:
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #4 am: 10. Januar 2014, 15:29:37
    Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
    Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

    #EDIT
    die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

    baalze

    • Neu im Forum
    • Beiträge: 40
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #5 am: 10. Januar 2014, 16:01:28
    EDIT: Hat sich erledigt.

    KAT

    • Mitglied
    • Beiträge: 196
    • Geschlecht:
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #6 am: 10. Januar 2014, 17:09:47
    Sprechen wir hier von dem selben Problem bzw. dessen Behebung?

    Sofortkauf klingt nach Sofortkauf und Attribute nach Attribute.  :-? Sofortkauf aus dem Lisiting heraus geht ja bekanntlich nicht, wenn das Produkt Attribute hat.  :mhhh:

    Also denke ich mal das hier von ein und der selben Lücke die Rede ist. Das BSI benutzt halt nur das Amtsdeutsch.  :-D

    baerchen99

    • Neu im Forum
    • Beiträge: 4
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #7 am: 10. Januar 2014, 18:00:30
    Das hier habe ich vom BSI noch erhalten:

    Zitat
    • c0li SQLi URL: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
    • SQLi End Tag: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
    • Table Name: customers
    • Column Name: customers_email_address[/l][/l]
    Das sieht "Sofortkauf" eher wie "buy_now" aus und reicht scheinbar, die Datenbank auszulesen. Ob das Problem jetzt mit dem Patch behoben wurde, kann ich nicht sagen.
    [/list]

    commerceSEO

    • Neu im Forum
    • Beiträge: 2
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #8 am: 10. Januar 2014, 18:17:08
    Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

    baerchen99

    • Neu im Forum
    • Beiträge: 4
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #9 am: 10. Januar 2014, 18:20:30
    Zitat
    Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

    Stimmt, wurde geändert!
     :datz:

    cYbercOsmOnauT

    • modified Team
    • Beiträge: 914
    • Geschlecht:
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #10 am: 10. Januar 2014, 18:22:23
    Da kamen wir zwei uns wohl in die Quere, denn ich hab den Exploit gerade auch wegeditiert. Wenn Du einen komplett anderen Text hattest, editier einfach nochmal bitte :)
    Viele Grüße,
    Tekin Birdüzen - Zend Certified Engineer

    baerchen99

    • Neu im Forum
    • Beiträge: 4
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #11 am: 10. Januar 2014, 18:32:35
    Passt schon!

    KAT

    • Mitglied
    • Beiträge: 196
    • Geschlecht:
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #12 am: 10. Januar 2014, 18:48:24
    Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

    Da stimme ich Dir natürlich zu, nur ist die Szene gut vernetzt das die die den Exploit brauchen, den auch schon haben.  :-D

    Wie kann man eigentlich feststellen, ob man still und leise bereits abgeschöpft wurde?

    LG KAT

    web28

    • modified Team
    • Beiträge: 9.404
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #13 am: 10. Januar 2014, 19:47:06
    Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
    Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

    #EDIT
    die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

    Gefixt wurd das in 1.05 SP1 ;-)

    Ladiva

    • Fördermitglied
    • Beiträge: 271
    Re: Sicherheitspatch für Versionen bis 1.05
    Antwort #14 am: 10. Januar 2014, 22:32:46
    Ich hab es gerade bei Heise gelesen und deshalb hab ich gerade reingeschaut. Da ich die letzte hab betrifft es mich nun nicht, aber da hätte Heise da auch schreiben sollen das es nur ältere Versionen betifft - ich bekam schon Panik. Hab es dann erst weiter unten bei denen gelesen das es die 1.05 betraf.
    2 Antworten
    979 Aufrufe
    20. Dezember 2018, 15:43:47 von dannyjung
    1 Antworten
    2318 Aufrufe
    14. Oktober 2013, 15:12:12 von noRiddle (revilonetz)
    Versionen Anleitungen

    Begonnen von Silversurfer am Admin- und Shopbereich

    1 Antworten
    1591 Aufrufe
    05. September 2016, 11:58:56 von Bonsai
    1 Antworten
    887 Aufrufe
    30. Oktober 2019, 12:58:30 von Viol
               
    anything