600x250
Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für Versionen bis 1.05  (Gelesen 20034 mal)

Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.220
  • Geschlecht: Männlich
    • Teile Beitrag
Sicherheitspatch für Versionen bis 1.05
« am: 10. Januar 2014, 14:41:34 »
Liebe Community,

wir wurden auf eine Sicherheitslücke aufmerksam gemacht, die wir euch hiermit weitergeben.

Es muss dazu lediglich eine Datei ausgetauscht werden. Diese kann problemlos in alle Shopversionen eingespielt werden.

Dazu einfach die Datei aus dem Paket ersetzen.

Download des Fixes: Klick mich

Nachtrag: Da die Frage jetzt mehrmals aufkam. Ab Shopversion 1.05 SP1 ist der Fix nicht mehr notwendig!

An der Stelle auch herzlichen Dank für die Info an Herrn Kausch von Webdesign Erfurt.

Wir wünschen euch weiterhin gute Geschäfte und viel Spass mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

[EDIT Tomcraft 10.01.2014: Fix-Paket in Download-Manager umgezogen.]

Linkback: https://www.modified-shop.org/forum/index.php?topic=28894.0

Haendlerbund_Leistungen_728x90_animiert

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #1 am: 10. Januar 2014, 15:20:09 »
Hallo,

ich habe heute (10.01.2014) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die folgende Information erhalten:

Zitat
Es handelt sich anscheinend um eine SQL injection 0Day-Lücke in der Sofortkauf-Funktion in xt:commerce 3.
Die Entwickler von xt:Commerce wurden unserer Kenntnis nach bereits benachrichtigt.

Sprechen wir hier von dem selben Problem bzw. dessen Behebung?


Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.589
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #2 am: 10. Januar 2014, 15:24:36 »
Hallo GTB,
d.h. Ihr habt die Lücke verifiziert, oder einfach nur vom Finder übernommen? *duckundwech*
 :flee-mrgreen:

Offline commerceSEO

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
    • http://www.commerce-seo.de
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #3 am: 10. Januar 2014, 15:27:00 »
Ja, genau darum geht es. Es sollte momentan noch nicht allzu viel über Details spekuliert werden! Es sollten erst einmal so viele wie möglich informiert werden, damit man noch handeln kann. Es sollte sich aber jeder der Tragweite bewusst sein, denn ohne dieses Update kann man quasi alle Kundendaten aus alten Shops auslesen. Wen es nicht betrifft, gut, wen es betrifft, der SOLLTE JETZT handeln. Wie Du festgestellt hast, ist das BSI auch von uns informiert worden!

Bei dieser Lücke wurde Projektübergreifend gearbeitet, also Gambio und die Kollegen hier wurden vorher informiert.

Webdesign Erfurt

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.589
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #4 am: 10. Januar 2014, 15:29:37 »
Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

#EDIT
die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

Offline baalze

  • Neu im Forum
  • *
  • Beiträge: 40
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #5 am: 10. Januar 2014, 16:01:28 »
EDIT: Hat sich erledigt.

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #6 am: 10. Januar 2014, 17:09:47 »
Sprechen wir hier von dem selben Problem bzw. dessen Behebung?

Sofortkauf klingt nach Sofortkauf und Attribute nach Attribute.  :-? Sofortkauf aus dem Lisiting heraus geht ja bekanntlich nicht, wenn das Produkt Attribute hat.  :mhhh:

Also denke ich mal das hier von ein und der selben Lücke die Rede ist. Das BSI benutzt halt nur das Amtsdeutsch.  :-D

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #7 am: 10. Januar 2014, 18:00:30 »
Das hier habe ich vom BSI noch erhalten:

Zitat
  • c0li SQLi URL: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
  • SQLi End Tag: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
  • Table Name: customers
  • Column Name: customers_email_address[/l][/l]
Das sieht "Sofortkauf" eher wie "buy_now" aus und reicht scheinbar, die Datenbank auszulesen. Ob das Problem jetzt mit dem Patch behoben wurde, kann ich nicht sagen.
[/list]

Offline commerceSEO

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
    • http://www.commerce-seo.de
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #8 am: 10. Januar 2014, 18:17:08 »
Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #9 am: 10. Januar 2014, 18:20:30 »
Zitat
Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Stimmt, wurde geändert!
 :datz:

Offline cYbercOsmOnauT

  • modified Team
  • *****
  • Beiträge: 914
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #10 am: 10. Januar 2014, 18:22:23 »
Da kamen wir zwei uns wohl in die Quere, denn ich hab den Exploit gerade auch wegeditiert. Wenn Du einen komplett anderen Text hattest, editier einfach nochmal bitte :)
Viele Grüße,
Tekin Birdüzen - Zend Certified Engineer

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #11 am: 10. Januar 2014, 18:32:35 »
Passt schon!

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #12 am: 10. Januar 2014, 18:48:24 »
Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Da stimme ich Dir natürlich zu, nur ist die Szene gut vernetzt das die die den Exploit brauchen, den auch schon haben.  :-D

Wie kann man eigentlich feststellen, ob man still und leise bereits abgeschöpft wurde?

LG KAT

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.404
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #13 am: 10. Januar 2014, 19:47:06 »
Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

#EDIT
die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

Gefixt wurd das in 1.05 SP1 ;-)

Offline Ladiva

  • Fördermitglied
  • *****
  • Beiträge: 267
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #14 am: 10. Januar 2014, 22:32:46 »
Ich hab es gerade bei Heise gelesen und deshalb hab ich gerade reingeschaut. Da ich die letzte hab betrifft es mich nun nicht, aber da hätte Heise da auch schreiben sollen das es nur ältere Versionen betifft - ich bekam schon Panik. Hab es dann erst weiter unten bei denen gelesen das es die 1.05 betraf.

Shop Hosting

Teile per facebook Teile per linkedin Teile per twitter

xx
PHP Versionen

Begonnen von gero01 am Bastelecke

1 Antworten
1424 Aufrufe
Letzter Beitrag 14. Oktober 2013, 15:12:12
von noRiddle
xx
SQL-Versionen

Begonnen von dannyjung am Installation / Update

2 Antworten
86 Aufrufe
Letzter Beitrag 20. Dezember 2018, 15:43:47
von dannyjung
xx
Versionen Anleitungen

Begonnen von Silversurfer am Admin- und Shopbereich

1 Antworten
730 Aufrufe
Letzter Beitrag 05. September 2016, 11:58:56
von Bonsai
topicsolved
Update um mehrere Versionen?

Begonnen von dmrq am Installation / Update

2 Antworten
2091 Aufrufe
Letzter Beitrag 23. September 2011, 09:53:46
von dmrq
 


             
anything