Sicherheitslücke in XT-Commerce

22. Februar 2011 by Keine Kommentare

Auch an dieser Stelle wollen wir auf die entdeckte Sicherheitslücke in xt-commerce hinweisen. Jeder, der xt-commerce in derVersion 3 benutzt sollte undedingt das Update machen.
Aufgrund eines Bug in der php funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator Passwort auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden.
Unter folgender Adresse steht der Bug-Fix zur Verfügung: http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=58

Die Installation ist denkbar einfach. Man erhält eine Zip-Datei, die man lokal entpackt. Per ftp-Programm mit dem Shop verbinden und die Datei password_double_opt.php in den root kopieren (alte Datei überschreiben) und die Datei xtc_validate_email.inc.php in den Ordner /inc kopieren (alte Datei überschreiben). Das war es auch schon. Zu hoffen, dass die Hacker nicht direkt nachlegen.

Es wird noch darauf hingewiesen, dass xt:Commerce Version 3.0.4 eine sog. „end-of-life“-Version ist und keinen Hersteller-Support mehr bekommt. Dieser Fehler scheint so kritisch zu sein, dass trotzdem ein Bugfix veröffentlicht wurde.
Die Version 4 (Veyton) ist nicht betroffen. Dieses veranlaßt uns aber erstmal nicht umzusteigen, da ein Aufsetzen von Version 4 einen riesigen Schwanz an Neuanpassungen, Probleme mit integrierten Schnittstellen u.sw. nach sich ziehen würde. Da werden wir mit Sicherheit nicht alleine sein, und hoffen, dass eine grosse Community das System über noch einige Zeit schleppt.

Hinterlasse einen Kommentar