xtc-supportforum.de

[andreas.k]

Die Entwickler von Ruhrmedia beseitigen eine Sicherheitslücke in den Shopsystemen GambioGX und xt:Commerce:

Durch eine SQL-Injection-Schwachstelle wäre es potentiellen Angreifern möglich gewesen sämtliche Benutzerdaten, Artikel und Bestellungen einzusehen. Schuld ist ein unsicherer Programmiercode. Es genügte ein einfaches Script um in kurzer Zeit an mehreren Stellen des Shops auf den Admin-Bereich zu gelangen. Aufgrund eines Kundenhinweises hat Ruhrmedia nun einen Sicherheitspatch für diese Sicherheitslücke vorgelegt.

Bisher sind keine Shops bekannt, die durch einen Angriff an dieser Stelle Schaden erlitten. Allerdings sollten Webshop-Betreiber diesen Patch so schnell wie möglich installieren!

Unter dem folgenden Link können Sie den Patch kostenlos downloaden.

http://www.ruhrmedia.de/News/gambiogx-sicherheitspatch.html

[msslovi0]

Ich werd nicht so ganz schlau draus, was der Exploit anstellen soll. Liest er 'nur' Bestell- und Kundendaten aus oder gibt er jedem beliebigen Admin-Rechte? Die Beschreibung ist hier leider widersprüchlich, eine Doku im Patch nicht vorhanden.

[andreas.k]

Hallo,

durch den Exploit erlangt man vollständigen Zugriff auf die Datenbank und den Adminbereich. Es lässt sich dadurch jede beliebige Tabelle in der DB auslesen.

Der Patch behebt die Möglichkeit xtc_db_prepare_input basierte SQL injections auszuführen.

Grüße
Andreas

[Anotherone]

Hallo,

durch den Exploit erlangt man vollständigen Zugriff auf die Datenbank und den Adminbereich. Es lässt sich dadurch jede beliebige Tabelle in der DB auslesen.

Der Patch behebt die Möglichkeit xtc_db_prepare_input basierte SQL injections auszuführen.

Grüße
Andreas

Wie erhält man damit Zugriff auf die Administration? Doch höchstens durch den Passwort-Hash, oder? Es sind ja nur Select-Abfragen möglich und keine Inserts oder Updates.

[Robert01]

Achtung, es gibt einen Patch zum Patch, siehe:

http://www.ruhrmedia.de/News/gambiogx-s ... patch.html

Anscheinend steht bei www.Gambio.de selbst noch die alte Fassung.

Ergänzung:

Gambio-Support teilte mir mit, das die Datei von Gambio.de eine eigene Entwicklung sei.

[bonn]

Ich habe mir das Pseudo-Patch von Ruhrmedia mal genauer angesehen. Meine Meinung dazu könnt ihr hier lesen viewtopic.php?f=30&t=2443

[Robert01]

Bei Gambio ist man jetzt seit dem 24.4.2010 beim Servicepack 2.4c, das mal als Info

[Robert01]

Und Gambio schiebt Version 2.4d am 29.4 nach, allerdings ohne Erklärung warum und ohne Doku, was sich zu Version 2.4c verändert hat. Danke, Gambio.

[ivenia]

Ich habe mir das SP2.4d mal kurz angeschaut und kann keinen offensichtlichen Unterschied zum SP2.4c erkennen. Lediglich in der Install-Anleitung steht nunmehr

Dieses Update ist nur für GAMBIO GX Version 1.0.12 bis 1.0.13b

Das SP2.4c bezog sich nur auf Version 1.0.12.
Ich werde mal in den nächsten Tagen mit WinMerge reinschauen. Vielleicht sind wir dann schlauer.