Sicherheitslücke in ECB-Shops bis v1.0.9

Informationen rund um die Sicherheit des Webs - Shops

Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon Xantiva » Sa 19. Feb 2011, 00:20

Es gibt eine neue Sicherheitslücke im originalen xt:commere 3.0.4 und in (?einigen) Forks! Es sind auch alle bisherigen ECB - Shop Versionen (bis V1.0.9a) betroffen. Die Webs - Shop Version (v1.0.10 alpha) ist nicht betroffen.

Mehr Details findet Ihr unter: http://seclists.org/fulldisclosure/2011/Feb/358

Patchanleitung für ECB - Shop Versionen <= 1.0.9:

Datei /inc/xtc_validate_email.inc.php:
Diesen Code:
Code: Alles auswählen
  function xtc_validate_email($email) {
    $valid_address = true;


wie folgt ändern:
Code: Alles auswählen
  function xtc_validate_email($email) {
    if (strpos($email,"\0")!==false) {return false;}
    $valid_address = true;


Datei /password_double_opt.php:
Diesen Code:
Code: Alles auswählen
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".$check_customer['customers_email_address']."'");


wie folgt ändern:
Code: Alles auswählen
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".xtc_db_input($check_customer['customers_email_address'])."'");


Ob die Lücke bereits aktiv ausgenutzt wird, ist mir nicht bekannt. Aber wenn sie nun offengelegt worden ist, so ist in Kürze auch mit Angriffen auf Eure Shops zu rechnen. ALSO, AKTIV WERDEN :!:

Ciao,
Mike
Mein Shop: http://www.basteln-selbermachen.de
Xantiva
 
Beiträge: 948
Registriert: Mo 10. Mai 2010, 18:26

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon möbius » Mo 21. Feb 2011, 22:43

Da hier diesbezüglich wohl "Schweigen im Walde" herrscht möchte ich mal den Anfang machen.

Ein herzliches Dankeschön an WEBS.de und XANTIVA für diesen Beitrag, diesem sehr hilfreichen Tipp mit Fehlerbehebung und allgemein für Eure sehr gute Arbeit, die Ihr hier leistet!!!

Für mich ist so etwas nicht selbstverständlich!
Habe diese Sicherheitslücke sofort behoben, dank Eurer Anleitung bzw. Codes! Ich finde, daß ein Dankeschön wohl das Mindeste ist, was man als Mitglied tun sollte, wenn es schon umsonst ist!


Liebe Grüße Olaf
möbius
 
Beiträge: 49
Registriert: Di 18. Mai 2010, 23:59

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon ulli81 » Mo 21. Feb 2011, 23:04

da die lücke in allen foren die runde rum ging, denke ich nicht das mike der entdecker der selben ist. daher mein eher verhaltenes echo.
ansonsten gebe ich dir vollkommen recht: ein dankeschon an die entwickler die hinter diesem prejekt stehen.

gruß
ulli

@olaf wenn du dich bedanken willst, mike hat kein bier mehr. hier kannst du ihm helfen. 8-)
p.s.: soll keinen schleichwerbung sein. ich bin weder der betreiber des shops noch kenne ich den betreiber.
ulli81
 
Beiträge: 108
Registriert: Di 20. Jul 2010, 00:32

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon möbius » Mo 21. Feb 2011, 23:41

@Ulli81

da die lücke in allen foren die runde rum ging...

Ja , hatte ich auch schon gelesen, aber ich dachte, es ging nur um die XT Shops. Das dies auch den ECB bis Vers. 1.08 bzw. den Web 1.09 betrifft hatte ich nicht geschnallt. Vielleicht überlesen? Denke, das so etwas auch Anderen passiert sein könnte.
Im Echo lese ich ganz selten, weil da meiner Meinung nach zuviel Spam drin steht.

...wenn du dich bedanken willst, mike hat kein bier mehr. hier kannst du ihm helfen.


Oh,Oh ... da haste aber was angerichtet. Habe mir eben vom Sohnemann 3 Bier geklaut, jetzt bin ich schon ne halbe Stunde in diesem Laden drin. Schau mir den richtig gründlich an, wohl gründlicher als bei meinen PHP-Codes! :lol:
Biste sicher das es nicht Dein Shop ist, dann hättest Du wohl einen neuen Kunden! :P

Liebe Grüße Olaf
möbius
 
Beiträge: 49
Registriert: Di 18. Mai 2010, 23:59

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon Doc Olson » Mo 21. Feb 2011, 23:46

Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.

Naja... die zwei Shops...
Doc Olson
 
Beiträge: 536
Registriert: Mo 10. Mai 2010, 10:54

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon Xantiva » Di 22. Feb 2011, 00:27

Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...

Ciao,
Mike
Mein Shop: http://www.basteln-selbermachen.de
Xantiva
 
Beiträge: 948
Registriert: Mo 10. Mai 2010, 18:26

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon möbius » Di 22. Feb 2011, 01:14

@Xantiva
Ich bin mehr oder weniger zufällig im Sellerforum drüber gestolpert und haben daraufhin den aktuellen Webs - Code betrachtet. Der war nicht mehr anfällig, aber die älteren Versionen sind alle noch betroffen. Daher ...

Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!
Deshalb noch einmal an Euch alle ein herzliches Dankeschön!!!
Ich selber meine, in anderen Foren herausgelesen zu haben, das es sich um reine XTC Shops handelt. Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.

@Doc Olson
Ist zwar nur eine Randnotiz, aber es sei der Vollständigkeit halber mal erwähnt: auch die Version 1.1.0 des ECB-Shops (die im Grunde nur eine 1.0.8 ist) ist von diesem Fehler betroffen. Beim "Hersteller" erfährt man davon allerdings nichts.

Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"

Grüßle Olaf
möbius
 
Beiträge: 49
Registriert: Di 18. Mai 2010, 23:59

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon Doc Olson » Di 22. Feb 2011, 09:52

möbius hat geschrieben:Hab ich mich doch nicht so verlesen?! Ich bin der Meinung, das dieses Problem bei ECB 1.08 und WEBS 1.09. entdeckt wurde, haben wir doch Euch zu verdanken, oder?!


Nein. Der Fehler wurde von Anderen Entdeckt. Er liess sich 1:1 auf die ECB-Shops übertragen, daher haben wir die Warnung ausgegeben.

möbius hat geschrieben:Ich selber als Nichtprofi (vermutlich viele andere Shopbetreiber auch) denke normal nicht daran, das ECB und WEBS auf XTC aufgebaut sind und deshalb auch betroffen sein könnten.


Aber genau DAS ist der Fall. Erstens ist das nicht schwer zu erkennen, wenn man das System nutzt/betreibt, zweitens werden wir nicht müde zu betonen, dass ECB und WEBS xt-commerce Forks sind. Hier zum Beispiel.

möbius hat geschrieben:Wäre das nicht einen EXTRA-THREAD wert? Dem das mal unter die Nase reiben? Wäre doch ne super Werbung für Euch!!! Aber so, das es keine "Echo-Eigenproduktion" wird, sondern mit Quelle von Euch (vielleicht Backlink Pflicht oder so ähnlich)! Ich bin da nicht so der SEO-Profi. Aber vermutlich hat er aber eh schon bei Euch abgeschrieben und behoben, der "Volker vom Gutental"


Definitiv nein. Hier wird auch niemandem was unter die Nase gerieben. Das wäre auch keine tolle "Werbung" für uns. Das wäre einfach nur kindisches "Ätschibätsch-Getue". Wie sehr sowas dem eigenen Niveau schadet, ist in anderen Blogs und Foren überdeutlich zu erkennen.
Doc Olson
 
Beiträge: 536
Registriert: Mo 10. Mai 2010, 10:54

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon fsck » So 27. Feb 2011, 10:19

Die Stelle im Fix:
Code: Alles auswählen
if (strpos($email,"\0")!==false) {return false;}


sollte um alle Nullbytes auszufiltern wie folgt angepasst werden:
Code: Alles auswählen
str_replace(array("\0", "\x00", "\u0000", "\000"), '', $email, $count); if ($count > 0) return false;


Quelle: http://www.monkey-business.biz/1586/xtc ... injection/
fsck
 
Beiträge: 4
Registriert: Di 11. Mai 2010, 18:19

Re: Sicherheitslücke in ECB-Shops bis v1.0.9

Beitragvon Xantiva » So 27. Feb 2011, 17:10

Ups, Danke.

Ich hatte das gestern nur im Adminbereich gepostet und Doc hat es schon mit rev. 1988 eingebaut.
Mein Shop: http://www.basteln-selbermachen.de
Xantiva
 
Beiträge: 948
Registriert: Mo 10. Mai 2010, 18:26

Nächste


Ähnliche Beiträge


Zurück zu Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron