Seite 1 von 2
Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Fr 18. Feb 2011, 23:20
von Xantiva
Es gibt eine neue Sicherheitslücke im originalen xt:commere 3.0.4 und in (?einigen) Forks! Es sind auch alle bisherigen ECB - Shop Versionen (bis V1.0.9a) betroffen. Die Webs - Shop Version (v1.0.10 alpha) ist nicht betroffen.
Mehr Details findet Ihr unter:
http://seclists.org/fulldisclosure/2011/Feb/358
Patchanleitung für ECB - Shop Versionen <= 1.0.9:
Datei /inc/xtc_validate_email.inc.php:
Diesen Code:
Code: Alles auswählen
function xtc_validate_email($email) {
$valid_address = true;
wie folgt ändern:
Code: Alles auswählen
function xtc_validate_email($email) {
if (strpos($email,"\0")!==false) {return false;}
$valid_address = true;
Diesen Code:
Code: Alles auswählen
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".$check_customer['customers_email_address']."'");
wie folgt ändern:
Code: Alles auswählen
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".xtc_db_input($check_customer['customers_email_address'])."'");
Ob die Lücke bereits aktiv ausgenutzt wird, ist mir nicht bekannt. Aber wenn sie nun offengelegt worden ist, so ist in Kürze auch mit Angriffen auf Eure Shops zu rechnen. ALSO, AKTIV WERDEN
Ciao,
Mike
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Mo 21. Feb 2011, 21:43
von möbius
Da hier diesbezüglich wohl "Schweigen im Walde" herrscht möchte ich mal den Anfang machen.
Ein herzliches Dankeschön an WEBS.de und XANTIVA für diesen Beitrag, diesem sehr hilfreichen Tipp mit Fehlerbehebung und allgemein für Eure sehr gute Arbeit, die Ihr hier leistet!!!
Für mich ist so etwas nicht selbstverständlich!
Habe diese Sicherheitslücke sofort behoben, dank Eurer Anleitung bzw. Codes! Ich finde, daß ein Dankeschön wohl das Mindeste ist, was man als Mitglied tun sollte, wenn es schon umsonst ist!
Liebe Grüße Olaf
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Mo 21. Feb 2011, 22:04
von ulli81
da die lücke in allen foren die runde rum ging, denke ich nicht das mike der entdecker der selben ist. daher mein eher verhaltenes echo.
ansonsten gebe ich dir vollkommen recht: ein dankeschon an die entwickler die hinter diesem prejekt stehen.
gruß
ulli
@olaf wenn du dich bedanken willst, mike hat kein bier mehr.
hier kannst du ihm helfen.
p.s.: soll keinen schleichwerbung sein. ich bin weder der betreiber des shops noch kenne ich den betreiber.
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Mo 21. Feb 2011, 22:41
von möbius
@Ulli81
da die lücke in allen foren die runde rum ging...
Ja , hatte ich auch schon gelesen, aber ich dachte, es ging nur um die XT Shops. Das dies auch den ECB bis Vers. 1.08 bzw. den Web 1.09 betrifft hatte ich nicht geschnallt. Vielleicht überlesen? Denke, das so etwas auch Anderen passiert sein könnte.
Im Echo lese ich ganz selten, weil da meiner Meinung nach zuviel Spam drin steht.
...wenn du dich bedanken willst, mike hat kein bier mehr. hier kannst du ihm helfen.
Oh,Oh ... da haste aber was angerichtet. Habe mir eben vom Sohnemann 3 Bier geklaut, jetzt bin ich schon ne halbe Stunde in diesem Laden drin. Schau mir den richtig gründlich an, wohl gründlicher als bei meinen PHP-Codes!
Biste sicher das es nicht Dein Shop ist, dann hättest Du wohl einen neuen Kunden!
Liebe Grüße Olaf
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Mo 21. Feb 2011, 22:46
von Doc Olson
Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.
Naja... die zwei Shops...
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Mo 21. Feb 2011, 23:27
von Xantiva
Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...
Ciao,
Mike
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Di 22. Feb 2011, 00:14
von möbius
@Xantiva
Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...
Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!
Deshalb noch einmal an Euch alle ein herzliches Dankeschön!!!
Ich selber meine, in anderen Foren herausgelesen zu haben, das es sich um reine XTC Shops handelt. Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.
@Doc Olson
Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.
Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"
Grüßle Olaf
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: Di 22. Feb 2011, 08:52
von Doc Olson
möbius hat geschrieben:Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!
Nein. Der Fehler wurde von Anderen Entdeckt. Er liess sich 1:1 auf die ECB-Shops übertragen, daher haben wir die Warnung ausgegeben.
möbius hat geschrieben:Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.
Aber genau DAS ist der Fall. Erstens ist das nicht schwer zu erkennen, wenn man das System nutzt/betreibt, zweitens werden wir nicht müde zu betonen, dass ECB und WEBS xt-commerce Forks sind.
Hier zum Beispiel.
möbius hat geschrieben:Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"
Definitiv nein. Hier wird auch niemandem was unter die Nase gerieben. Das wäre auch keine tolle "Werbung" für uns. Das wäre einfach nur kindisches "Ätschibätsch-Getue". Wie sehr sowas dem eigenen Niveau schadet, ist in anderen Blogs und Foren überdeutlich zu erkennen.
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: So 27. Feb 2011, 09:19
von fsck
Die Stelle im Fix:
sollte um alle Nullbytes auszufiltern wie folgt angepasst werden:
Code: Alles auswählen
str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;
Quelle:
http://www.monkey-business.biz/1586/xtc ... injection/
Re: Sicherheitslücke in ECB-Shops bis v1.0.9
Verfasst: So 27. Feb 2011, 16:10
von Xantiva
Ups, Danke.
Ich hatte das gestern nur im Adminbereich gepostet und Doc hat es schon mit rev. 1988 eingebaut.