Sicherheitslücke in ECB-Shops bis v1.0.9

Informationen rund um die Sicherheit des Webs - Shops
Xantiva
Beiträge: 948
Registriert: Mo 10. Mai 2010, 16:26
Shop Version: 1.0.10 [dev]
Kontaktdaten:

Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von Xantiva »

Es gibt eine neue Sicherheitslücke im originalen xt:commere 3.0.4 und in (?einigen) Forks! Es sind auch alle bisherigen ECB - Shop Versionen (bis V1.0.9a) betroffen. Die Webs - Shop Version (v1.0.10 alpha) ist nicht betroffen.

Mehr Details findet Ihr unter: http://seclists.org/fulldisclosure/2011/Feb/358

Patchanleitung für ECB - Shop Versionen <= 1.0.9:

Datei /inc/xtc_validate_email.inc.php:
Diesen Code:

Code: Alles auswählen

  function xtc_validate_email($email) {
    $valid_address = true;
wie folgt ändern:

Code: Alles auswählen

  function xtc_validate_email($email) {
    if (strpos($email,"\0")!==false) {return false;}
    $valid_address = true;
Datei /password_double_opt.php:
Diesen Code:

Code: Alles auswählen

xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".$check_customer['customers_email_address']."'");
wie folgt ändern:

Code: Alles auswählen

xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".xtc_db_input($check_customer['customers_email_address'])."'");
Ob die Lücke bereits aktiv ausgenutzt wird, ist mir nicht bekannt. Aber wenn sie nun offengelegt worden ist, so ist in Kürze auch mit Angriffen auf Eure Shops zu rechnen. ALSO, AKTIV WERDEN :!:

Ciao,
Mike
Mein Shop: http://www.basteln-selbermachen.de
möbius
Beiträge: 49
Registriert: Di 18. Mai 2010, 21:59
Shop Version: ECB 1.08

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von möbius »

Da hier diesbezüglich wohl "Schweigen im Walde" herrscht möchte ich mal den Anfang machen.

Ein herzliches Dankeschön an WEBS.de und XANTIVA für diesen Beitrag, diesem sehr hilfreichen Tipp mit Fehlerbehebung und allgemein für Eure sehr gute Arbeit, die Ihr hier leistet!!!

Für mich ist so etwas nicht selbstverständlich!
Habe diese Sicherheitslücke sofort behoben, dank Eurer Anleitung bzw. Codes! Ich finde, daß ein Dankeschön wohl das Mindeste ist, was man als Mitglied tun sollte, wenn es schon umsonst ist!


Liebe Grüße Olaf
ulli81
Beiträge: 108
Registriert: Mo 19. Jul 2010, 22:32
Shop Version: ECB 1.0.8

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von ulli81 »

da die lücke in allen foren die runde rum ging, denke ich nicht das mike der entdecker der selben ist. daher mein eher verhaltenes echo.
ansonsten gebe ich dir vollkommen recht: ein dankeschon an die entwickler die hinter diesem prejekt stehen.

gruß
ulli

@olaf wenn du dich bedanken willst, mike hat kein bier mehr. hier kannst du ihm helfen. 8-)
p.s.: soll keinen schleichwerbung sein. ich bin weder der betreiber des shops noch kenne ich den betreiber.
möbius
Beiträge: 49
Registriert: Di 18. Mai 2010, 21:59
Shop Version: ECB 1.08

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von möbius »

@Ulli81
da die lücke in allen foren die runde rum ging...
Ja , hatte ich auch schon gelesen, aber ich dachte, es ging nur um die XT Shops. Das dies auch den ECB bis Vers. 1.08 bzw. den Web 1.09 betrifft hatte ich nicht geschnallt. Vielleicht überlesen? Denke, das so etwas auch Anderen passiert sein könnte.
Im Echo lese ich ganz selten, weil da meiner Meinung nach zuviel Spam drin steht.
...wenn du dich bedanken willst, mike hat kein bier mehr. hier kannst du ihm helfen.
Oh,Oh ... da haste aber was angerichtet. Habe mir eben vom Sohnemann 3 Bier geklaut, jetzt bin ich schon ne halbe Stunde in diesem Laden drin. Schau mir den richtig gründlich an, wohl gründlicher als bei meinen PHP-Codes! :lol:
Biste sicher das es nicht Dein Shop ist, dann hättest Du wohl einen neuen Kunden! :P

Liebe Grüße Olaf
Doc Olson
Beiträge: 536
Registriert: Mo 10. Mai 2010, 08:54

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von Doc Olson »

Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.

Naja... die zwei Shops...
Xantiva
Beiträge: 948
Registriert: Mo 10. Mai 2010, 16:26
Shop Version: 1.0.10 [dev]
Kontaktdaten:

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von Xantiva »

Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...

Ciao,
Mike
Mein Shop: http://www.basteln-selbermachen.de
möbius
Beiträge: 49
Registriert: Di 18. Mai 2010, 21:59
Shop Version: ECB 1.08

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von möbius »

@Xantiva
Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...
Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!
Deshalb noch einmal an Euch alle ein herzliches Dankeschön!!!
Ich selber meine, in anderen Foren herausgelesen zu haben, das es sich um reine XTC Shops handelt. Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.

@Doc Olson
Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.
Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"

Grüßle Olaf
Doc Olson
Beiträge: 536
Registriert: Mo 10. Mai 2010, 08:54

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von Doc Olson »

möbius hat geschrieben:Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!
Nein. Der Fehler wurde von Anderen Entdeckt. Er liess sich 1:1 auf die ECB-Shops übertragen, daher haben wir die Warnung ausgegeben.
möbius hat geschrieben:Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.
Aber genau DAS ist der Fall. Erstens ist das nicht schwer zu erkennen, wenn man das System nutzt/betreibt, zweitens werden wir nicht müde zu betonen, dass ECB und WEBS xt-commerce Forks sind. Hier zum Beispiel.
möbius hat geschrieben:Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"
Definitiv nein. Hier wird auch niemandem was unter die Nase gerieben. Das wäre auch keine tolle "Werbung" für uns. Das wäre einfach nur kindisches "Ätschibätsch-Getue". Wie sehr sowas dem eigenen Niveau schadet, ist in anderen Blogs und Foren überdeutlich zu erkennen.
fsck
Beiträge: 4
Registriert: Di 11. Mai 2010, 16:19
Shop Version: WEBS 1.09

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von fsck »

Die Stelle im Fix:

Code: Alles auswählen

if (strpos($email,"\0")!==false) {return false;}
sollte um alle Nullbytes auszufiltern wie folgt angepasst werden:

Code: Alles auswählen

str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;
Quelle: http://www.monkey-business.biz/1586/xtc ... injection/
Xantiva
Beiträge: 948
Registriert: Mo 10. Mai 2010, 16:26
Shop Version: 1.0.10 [dev]
Kontaktdaten:

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitrag von Xantiva »

Ups, Danke.

Ich hatte das gestern nur im Adminbereich gepostet und Doc hat es schon mit rev. 1988 eingebaut.
Mein Shop: http://www.basteln-selbermachen.de
Antworten