Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für Versionen bis 1.05  (Gelesen 20739 mal)

Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.280
  • Geschlecht: Männlich
    • Teile Beitrag
Sicherheitspatch für Versionen bis 1.05
« am: 10. Januar 2014, 14:41:34 »
Liebe Community,

wir wurden auf eine Sicherheitslücke aufmerksam gemacht, die wir euch hiermit weitergeben.

Es muss dazu lediglich eine Datei ausgetauscht werden. Diese kann problemlos in alle Shopversionen eingespielt werden.

Dazu einfach die Datei aus dem Paket ersetzen.

Download des Fixes: Klick mich

Nachtrag: Da die Frage jetzt mehrmals aufkam. Ab Shopversion 1.05 SP1 ist der Fix nicht mehr notwendig!

An der Stelle auch herzlichen Dank für die Info an Herrn Kausch von Webdesign Erfurt.

Wir wünschen euch weiterhin gute Geschäfte und viel Spass mit unserer Shopsoftware.

Euer modified eCommerce Shopsoftware Team

[EDIT Tomcraft 10.01.2014: Fix-Paket in Download-Manager umgezogen.]

Linkback: https://www.modified-shop.org/forum/index.php?topic=28894.0

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #1 am: 10. Januar 2014, 15:20:09 »
Hallo,

ich habe heute (10.01.2014) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die folgende Information erhalten:

Zitat
Es handelt sich anscheinend um eine SQL injection 0Day-Lücke in der Sofortkauf-Funktion in xt:commerce 3.
Die Entwickler von xt:Commerce wurden unserer Kenntnis nach bereits benachrichtigt.

Sprechen wir hier von dem selben Problem bzw. dessen Behebung?


Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #2 am: 10. Januar 2014, 15:24:36 »
Hallo GTB,
d.h. Ihr habt die Lücke verifiziert, oder einfach nur vom Finder übernommen? *duckundwech*
 :flee-mrgreen:

Offline commerceSEO

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
    • http://www.commerce-seo.de
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #3 am: 10. Januar 2014, 15:27:00 »
Ja, genau darum geht es. Es sollte momentan noch nicht allzu viel über Details spekuliert werden! Es sollten erst einmal so viele wie möglich informiert werden, damit man noch handeln kann. Es sollte sich aber jeder der Tragweite bewusst sein, denn ohne dieses Update kann man quasi alle Kundendaten aus alten Shops auslesen. Wen es nicht betrifft, gut, wen es betrifft, der SOLLTE JETZT handeln. Wie Du festgestellt hast, ist das BSI auch von uns informiert worden!

Bei dieser Lücke wurde Projektübergreifend gearbeitet, also Gambio und die Kollegen hier wurden vorher informiert.

Webdesign Erfurt

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #4 am: 10. Januar 2014, 15:29:37 »
Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

#EDIT
die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

Offline baalze

  • Neu im Forum
  • *
  • Beiträge: 40
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #5 am: 10. Januar 2014, 16:01:28 »
EDIT: Hat sich erledigt.

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #6 am: 10. Januar 2014, 17:09:47 »
Sprechen wir hier von dem selben Problem bzw. dessen Behebung?

Sofortkauf klingt nach Sofortkauf und Attribute nach Attribute.  :-? Sofortkauf aus dem Lisiting heraus geht ja bekanntlich nicht, wenn das Produkt Attribute hat.  :mhhh:

Also denke ich mal das hier von ein und der selben Lücke die Rede ist. Das BSI benutzt halt nur das Amtsdeutsch.  :-D

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #7 am: 10. Januar 2014, 18:00:30 »
Das hier habe ich vom BSI noch erhalten:

Zitat
  • c0li SQLi URL: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
  • SQLi End Tag: --- Edit cYbercOsmOnauT: Genauen Exploit entfernt ---
  • Table Name: customers
  • Column Name: customers_email_address[/l][/l]
Das sieht "Sofortkauf" eher wie "buy_now" aus und reicht scheinbar, die Datenbank auszulesen. Ob das Problem jetzt mit dem Patch behoben wurde, kann ich nicht sagen.
[/list]

Offline commerceSEO

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
    • http://www.commerce-seo.de
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #8 am: 10. Januar 2014, 18:17:08 »
Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #9 am: 10. Januar 2014, 18:20:30 »
Zitat
Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Stimmt, wurde geändert!
 :datz:

Offline cYbercOsmOnauT

  • modified Team
  • *****
  • Beiträge: 914
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #10 am: 10. Januar 2014, 18:22:23 »
Da kamen wir zwei uns wohl in die Quere, denn ich hab den Exploit gerade auch wegeditiert. Wenn Du einen komplett anderen Text hattest, editier einfach nochmal bitte :)
Viele Grüße,
Tekin Birdüzen - Zend Certified Engineer

Offline baerchen99

  • Neu im Forum
  • *
  • Beiträge: 4
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #11 am: 10. Januar 2014, 18:32:35 »
Passt schon!

Offline KAT

  • Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Weiblich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #12 am: 10. Januar 2014, 18:48:24 »
Ja, es geht um die Buy Now. Würde das vom BSI hier aber noch nicht so offen posten, da kannst Du ja gleich das Messer mitliefern.  :-O

Da stimme ich Dir natürlich zu, nur ist die Szene gut vernetzt das die die den Exploit brauchen, den auch schon haben.  :-D

Wie kann man eigentlich feststellen, ob man still und leise bereits abgeschöpft wurde?

LG KAT

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.404
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #13 am: 10. Januar 2014, 19:47:06 »
Bedeutet "bis 1.05"   bis 1.05, oder bis 1.05 SP 1d ?
Und in welchen Download Manager zieht Tomcraft das, wenn es nicht für 1.06 ist ?  :-?

#EDIT
die Frage hat sich erledigt, da die hier angebotene Datei mit einem 1.05 SP 1c identisch ist  :-D

Gefixt wurd das in 1.05 SP1 ;-)

Offline Ladiva

  • Fördermitglied
  • *****
  • Beiträge: 267
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #14 am: 10. Januar 2014, 22:32:46 »
Ich hab es gerade bei Heise gelesen und deshalb hab ich gerade reingeschaut. Da ich die letzte hab betrifft es mich nun nicht, aber da hätte Heise da auch schreiben sollen das es nur ältere Versionen betifft - ich bekam schon Panik. Hab es dann erst weiter unten bei denen gelesen das es die 1.05 betraf.

Offline Doc Snyder

  • Neu im Forum
  • *
  • Beiträge: 7
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #15 am: 11. Januar 2014, 15:42:28 »
Die xtc_has_product_attributes.inc.php ist ja bei einigen Erweiterungen z. B. dem Bundle-Modul verändert. Gibt es noch eine Anleitung, welche Zeile(n) auszutauschen sind?

Offline Modulfux

  • Experte
  • *****
  • Beiträge: 3.590
  • Geschlecht: Männlich
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #16 am: 11. Januar 2014, 17:55:12 »
Die übergebene products_id muss mit einem (int) gecastet werden. Das war's schon.

Gruß
Ronny

Offline h-h-h

  • modified Team
  • *****
  • Beiträge: 4.564
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #17 am: 11. Januar 2014, 19:25:01 »
Das ist aber auch ein echt alter Hut.  :whistle:

 SP1 für modified eCommerce Shopsoftware 1.05 veröffentlicht
« am: 02. August 2011, 11:06:16 »

http://www.modified-shop.org/forum/index.php?topic=14304

Viele Grüße,
h-h-h

Offline MasterChief

  • Mitglied
  • ***
  • Beiträge: 182
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #18 am: 11. Januar 2014, 23:18:35 »
Auch wenn ich damit ggf. nerve, wenn es so eine "alte" Lücke ist bzw. der Usprung zur Lücke so alt ist, möchte ich hiermit nochmal ausdrücklich nachfragen:

modified eCommerce Shopsoftware v1.05
dated: 2010-07-18
SP1d incl. Securitypack

In diesen Shop muss ich diesen Fix nicht einspielen ?

Danke !  Ich denke es hilft vielen die Ihren Shop schon länger benutzen.  Man kann dann die Shopversion ja nur noch per "Credits" auslesen oder ?

Offline fishnet

  • Fördermitglied
  • *****
  • Beiträge: 4.641
  • Geschlecht: Männlich
    • Teile Beitrag
    • Fishnet Services
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #19 am: 12. Januar 2014, 00:12:46 »
Das ist korrekt,  siehe auch Antwort 14.

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 9.989
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #20 am: 12. Januar 2014, 00:44:32 »
Post 1 und der Thread-Titel sind doch auch eindeutig...

Offline MasterChief

  • Mitglied
  • ***
  • Beiträge: 182
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #21 am: 12. Januar 2014, 17:16:42 »
Ich hatte mich mit jemandem per Chat unterhalten und das Thema zu der Sicherheitslücke kam auf....  und es war ihm z.B. nicht klar bis wie weit die Aussage "1.05" geht, da es ja scheinbar mehr Versionen des SP1 gibt  (wie hier angeführt  SP1d)  und dabei dann auch noch zusätzlich wohl ein "Securitypack" enthalten ist.

Es wäre doch einfacher das genau mit anzugeben wenn ein Patch neu bereitgestellt wird.  Scheinbar findet sich nicht jeder nach Jahren noch zurecht was ein  " 1.05 SP1d mit Securitypack "  genau beinhaltet.

War ja nur ne Idee von mir ?!?

Wollt ihr mir noch verraten was das "dated: 2010-07-18" aussagt?  Ist daß das Installationsdatum vom Shop oder hat es was mit der Version 1.05.... zu tun?

Danke !

Offline Matt

  • Experte
  • *****
  • Beiträge: 4.241
    • Teile Beitrag
    • http://www.wibros.de/
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #22 am: 12. Januar 2014, 22:22:08 »
Es wäre doch einfacher das genau mit anzugeben wenn ein Patch neu bereitgestellt wird.  Scheinbar findet sich nicht jeder nach Jahren noch zurecht was ein  " 1.05 SP1d mit Securitypack "  genau beinhaltet.

Der Patch umfasst eine Datei und wenn du eine bereits gepatchte mit dem Patch überspielst passiert genau gar nichts. Wollen wir nicht lieber die Kirche im Dorf lassen?

Offline Doc Snyder

  • Neu im Forum
  • *
  • Beiträge: 7
    • Teile Beitrag
Re: Sicherheitspatch für Versionen bis 1.05
« Antwort #23 am: 12. Januar 2014, 23:02:16 »
Die übergebene products_id muss mit einem (int) gecastet werden. Das war's schon.

Gruß
Ronny

:thx:


Teile per facebook Teile per linkedin Teile per twitter