Wichtiges Security Update für alle xtc-Forks

Patches & Bugfixes, Shopupdates Kommentar schreiben

Gestern wurde eine kritische Sicherheitslücke im Shopsystem bekannt. Das Update wird dringend empfohlen. Die Sicherheitslücke betrifft neben commerce:SEO auch Gambio in allen Versionen, sowie andere Forks des damaligen Shopsystems xt:Commerce. xtcModified ist von dieser Sicherheitslücke nicht betroffen.

Weitere Informationen werden in Kürze folgen, sobald auch andere Herausgeber von Shopsoftware, welche auf xt:Commerce basiert, entsprechende Sicherheitsupdates bereitgestellt haben. Aus Sicherheitsgründen werden Details zur Schwachstelle und zu den betroffenen Shopsystemen im Moment nicht veröffentlicht.

Vielen Dank an Ralf Zimmermann von der TRITUM GmbH und an Gambio und commerce:SEO als die Herausgeber der Sicherheitsupdates.

Edit 14.06.2012: Das Update für xtc 3.04 SP1, welches Ralf Zimmermann im Kommentar #5 mit verlinkt hat – an dieser Stelle vielen Dank im Namen unserer Leser und Nutzer! – wurde als Downloadpaket mit angefügt.
Edit 15.06.2012: Beide Updates für self-commerce, welche im Kommentar #6 verlinkt sind, wurden zu einem Downloadpaket zusammengefasst und mit angefügt.

Dateigröße 13,2 KiB - Downloads bisher 1.027
  gambio_sec-update_2012-06-12.zip

Dateigröße 11,1 KiB - Downloads bisher 748
  commerce_seo_v211ce_sec-update_2012-06-12.zip

Dateigröße 6,8 KiB - Downloads bisher 1.567
  xtc_304sp1_sec-update_2012-06-12.zip

Dateigröße 22,7 KiB - Downloads bisher 642
  self_v20_v201_sec-update_2012-06-12.zip

 

Weitere Beiträge, die Dich interessieren könnten

20 Kommentare bei “Wichtiges Security Update für alle xtc-Forks”

  1. Thomas

    Wie sieht es mit xt:Commerce v3.04 SP2.1 selber aus?
    Auch betroffen?

  2. Basti

    Wie sieht es denn mit dem “normalen” XT aus?

  3. Ralf Zimmermann

    xt:Commerce v3.04 SP2.1 ist ebenfalls betroffen.
    Ich werde in den nächsten Tagen unter http://stoffline.com mehr Details veröffentlichen.

  4. Christian

    Gibt es bereits ein Patch für txc 3.04?

  5. Ralf Zimmermann

    Da nun schon mehrere Anfragen wegen einem Patch für xt:Commerce v3.04 SP2.1 kamen stelle ich mal einen bereit.
    Download unter: http://stoffline.com/golb/sicherheitslucke-in-xtcommerce/
    Die Entwickler von Gambio haben aber auch schon angedeutet, dass sie einen Patch für die xt:Commerce Community bereitstellen möchten. Bis dieser da ist, kann gerne meine Patch genutzt werden, aber alles auf eigene Gefahr. Ich empfehle aber dringend das patchen eurer Systeme, denn ungepatcht ist die Gefahr größer ;)

  6. Dennis Eisold

    Hier auch die Bugfixes für die beiden aktuellen Self-Commerce Versionen:
    2.0 http://sourceforge.net/projects/self-commerce/files/Self-Commerce/Bugfixes/Self-Commerce%20Bugfix%202.0a.zip/download
    2.0.1 http://sourceforge.net/projects/self-commerce/files/Self-Commerce/Bugfixes/Self-Commerce%20Bugfix%202.0.1a.zip/download

  7. Marcus

    Und wer dann einfach den Patch in modifizierte Shops einspielt, wird mehr Probleme nach dem Patch, als vor dem Patch haben. Es waere sinnvoll, eine Anleitung fuer geaenderte application_top.php beizulegen und nicht einfach nur die Datei. 90% der Shops werden das kaum nutzen koennen, ohne dabei nachtraeglich implementierte Erweiterungen abzuschiessen.

  8. Ralf Zimmermann

    Hallo Marcus,
    schaue mal bitte in meinem Blogeintrag vorbei (http://stoffline.com/golb/sicherheitslucke-in-xtcommerce/),
    ich habe da jetzt beschrieben wie man die Datei manuell Patchen kann.

    viele Grüße

  9. Heiko Frenzel

    Hier ebenfalls ein Beitrag zum Thema: http://www.doo-media.de/doo-blog/security-updates-fur-xtcommerce-forks.html

    Bei stark modifizierten xt:Commerce Schleudern, kann man auf den Patcher zurückgreifen, welchen ich für diesen Zweck erstellt habe. Der Link zum Download befindet sich im Beitrag.

  10. Dennis Eisold

    @Marcus
    Da hast du natürlich recht.

    Im Self-Commerce Forum ist ein Posting mit den genauen Änderungen vorhanden.
    https://www.self-commerce.de/topic.php?p=8614#real8614

  11. Christian Rothe

    Was soll das Heckmeck mit dem Patch? Im Prinzip würde es schon reichen, zwei Zeilen zu tauschen in der ‘application_top.php’ im Ordner ‘/admin/includes':

    Suche die Originalzeile:

    $current_page = preg_split('/\?/', basename($_SERVER['PHP_SELF']));

    Ersetze sie durch die sichere Version:

    $current_page = preg_split('/\?/', basename($_SERVER['SCRIPT_FILENAME']););

    Fazit: Wenn man einfach nur $_SERVER[‘PHP_SELF’] durch $_SERVER[‘SCRIPT_FILENAME’] ersetzt, dann ist die Sicherheitslücke auch schon geschlossen.

  12. Ralf Zimmermann

    Hallo Christian,

    das stimmt, die von dir beschriebene Version hatte ich auch den Entwicklern als Patch vorgeschlagen.
    Gambio hat das dann aber mit einer etwas anderen Lösung umgesetzt und ich habe das dann vorsichtshalber übernommen.
    Bitte beachtet das der von Christian geschriebene Code nicht ganz richtig ist. Da ist ein Semikolon zu viel drin.
    Richtig lautet die Codezeile:

    $current_page = preg_split('/\?/', basename($_SERVER['SCRIPT_FILENAME']));
  13. Stephan

    …mal abgesehen davon, dass die Behandlung von $_SERVER[‘PHP_SELF’] oder $_SERVER[‘SCRIPT_FILENAME’] mittels split(), explode() oder preg_split() ziemlich sinnfrei ist, da in beiden Variablen nie ein Fragezeichen vorkommen wird, da nur der Dateiname ohne URL-Parameter enthalten ist…

  14. Nonito Capuno (Gambio)

    Wir haben die Erfahrung gemacht, dass es Server gibt, auf denen SCRIPT_NAME nicht gesetzt ist. Dies ist ein extrem selten auftretender Fall, aber es kommt eben schon mal vor – gerade in Umgebungen, in denen PHP im CGI-Modus betrieben wird.

    Anstatt das PHP_SELF durch SCRIPT_NAME zu ersetzen haben wir darum eine zusätzliche Abfrage eingebaut, die prüft, ob die ermittelte Datei in $current_page auch wirklich existiert. An gleicher Stelle prüfen wir jetzt außerdem die Kundengruppe des aktuellen Users. So kann der Adminstatus viel früher festgestellt und die Ausführung der Seite nötigenfalls auch viel früher abgebrochen werden. Sollten sich wider Erwarten weitere Schwachstellen bei der Adminprüfung ergeben, ist dies denke ich eine ganz gute, vorbeugende Maßnahme.

  15. Jörg

    Ich habe Gambio GX im Einsatz. Leider konnte ich nicht erfolgreich die beiden application_top.php-Dateien von Gambio nehmen. Damit war kein Login mehr im Adminmenü möglich.

    Dank eurer Hilfe hab ich jetzt einfach in der application_top.php den Eintrag PHP_SELF gegen SCRIPT_FILENAME ausgetauscht. Somit soll die Sicherheitslücke geschlossen sein.

  16. Basti

    Hallo an alle…

    gint es denn ne Möglichkeit, dass man nach Einspielen des Patches “Sich selbst” mal testen kann?
    Ich mein, nur die Zeilen tauschen/ersetzen ist eine Sache, ob die Sache danach gestopft ist eine andere… Das würd ich gern mal testen…

  17. Ralf Zimmermann

    Hallo Basti,

    bitte habe Verständnis, dass ich Details zur Lücke erst in ein paar Tagen veröffentlichen werde um Anderen noch Zeit zum patchen zu geben. Wenn Du die Anweisungen zum Patchen aber befolgt hast, kannst du sicher sein das die Lücke geschlossen ist. Wenn du möchtest, kann ich das für Dich überprüfen. Nimm bitte über das Kontaktformular auf meinem Blog http://stoffline.com Kontakt zu mir auf.

  18. wemheuer

    Da meine Zeile in der application_top.php etwas anders aussieht, eine Verständnisfrage:
    das Austauschen von PHP_SELF gegen SCRIPT_FILENAME behebt die Sicherheitslücke?

  19. Kloputze

    Hallo zusammen. ich habe das grade bei XTC Modified nachgeguckt, weil es immer heißt, dass dort diese Sicherheitslücke bereits ab 1.05 geschlossen ist. Bei xtc modified 1.05 SP1b finde ich ebenfalls folgenden Code in der Datei:

    $current_page = preg_split('/\?/', basename($_SERVER['PHP_SELF'])); $current_page = $current_page[0];

    Kann man doch nicht ignorieren oder bezieht sich die Aussage, dass das xtc Modified System nicht betroffen ist, nur auf die letzte Service-Pack-Version SP1c, welche vor einigen Wochen rausgekommen ist?

    Grüße

  20. Kloputze

    habs gefunden … offiziell wurde die lücke am 26.11.2010 geschlossen, irgendwie war die sicherheitslücke aber trotzdem in mehreren onlineshops, welche ich im letzten jahr neu aufgesetzt (download bei xtc modified) habe, noch vorhanden. guckt mal bei euch nach, vll. stimmt das nur bei mir so nicht.

    schöne grüße

    //BOF – GTB – 2010-11-26 – Security Fix – PHP_SELF

Kommentar schreiben

Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem eCommerce-Forum herzlich willkommen.

© 2005 - 2015 by xtc-load.de