Externes Security-Update von xtCommerce

[Andreas04]

... ... Edit

[mzanier]

Man sollte nicht alles glauben was in diesem Forum dort verbreitet wird.

Derzeit gibt es keine bekannten sicherheitslecks in Version 3.0.4 SP2.1 (welche bei uns zum Dowload steht). In Diversen Versionen die irgendwo auf dubiosen Seiten angeboten werden sollte man aber grundsätzlich vorsichtig sein.

Auch in xt:Commerce VEYTON gibt es keine bekannten sicherheitslecks, dies wird in beiden versionen durch diverse Filter verhindert.

Zum großen teil bauen diese absichtlichen verunsicherungen einiger Personen nur darauf auf, das der Angreifer schon zugang zum administrationsbereich hat., das man dann natürlich schindluder treiben kann sollte jedem klar sein.

1. Regel -> Sichere Passwörter verwenden die nicht in einem Wörterbuch zu finden sind und aus groß/Klein Buchstaben, Zahlen und Sonderzeichen bestehen, dann ist man schon relativ auf der sicheren seite.

Ein Großteil der Einbrüche in System geschehen immer noch weil zu schwache passwörter verwendet werden, oder weil man sich Shopversionen von irgendwelchen Seiten gezogen hat die nicht auf dem aktuellsten stand sind, oder durch den laienhaften Einbau von irgendwelchen Modulen sicherheitslücken selbst öffnet.

[dangerfreak]

Ein Großteil der Einbrüche in System geschehen immer noch weil zu schwache passwörter verwendet werden, oder weil man sich Shopversionen von irgendwelchen Seiten gezogen hat die nicht auf dem aktuellsten stand sind, oder durch den laienhaften Einbau von irgendwelchen Modulen sicherheitslücken selbst öffnet.

Der fehlerhafte Moduleinbau ist sicherlich nicht von der Hand zu weisen, aber xt-commerce.com darf sich mit seiner restriktiven Kommunikationspolitik hier selbst auch eine Scheibe abschneiden, wennn die Leute nicht wissen (können), wie der Shop abgesichert bzw. eingerichtet wird.Warum wurde der obige Link z.B. zensiert? Somit lässt sich die Behauptung weder bestätigen noch revidieren...

[hubbabubba]

Wenn schon kein Link dann zitiert doch wenigstens den entsprechenden Textabschnitt der beschreibt welcher Mechanismus als Sicherheitslücke angeprangert wird. Wenn das wirklich Unsinn ist reihe ich mich gern ein und verspotte die Urheber für den Unsinn. :-)

mfg

[Andreas04]

... ... Edit

[Andreas04]

... ... Edit

[mzanier]

Wie geschrieben, zur zeit ist uns kein Sicherheitsleck bekannt (werden bei uns bei bekanntwerden idr auch innerhalb weniger Stunden mit fixes behoben).

Das letzte Update gab es am 20.11.2008, bisher ist es noch keinem gelungen uns einen erfolgreichen einbruch in diese shopversion zu demonstrieren.

Natürlich liest man immer wieder von solchen dingen, aber wenn man die Vorfälle näher untersucht dann lag es immer an eigenverschulden der Shopbetreiber (zb unsicheres Passwort, fremde Frickelmodule von dubiosen Webseiten), oder es waren andere Systeme am Server betrofffen (zb ältere Forensoftware, phpmyadmin etc).

[ixtece]

Der "Security-Patch" ist absoluter Blödsinn. Hier wurde auf Bild-Zeitung-Niveau Panikmache betrieben. Wer die Patches von offizieller Seite installiert hat, sichere Passwörter verwendet und diese in regelmäßigen Abständen auch mal erneuert, der muss sich bei einem guten Provider keine Gedanken machen.

Die an panikmachender Stelle dargestellte Sicherheitslücke wird auch nicht mit dem schlecht gemachten und eher plobemerzeugeneden Patch behoben. Die Einschleusung des Scripts auf dem Webserver setzt den Zugang zu einem Uploadscript voraus. Um an einen Upload zu kommen, muss man ein schlecht programmiertes Upload-Script im Frontend nutzen (gibt ja einige für den xt:Commerce an dubiosen Orten) oder Adminzugang haben. Den Adminzugang bekommen Hacker meist über schlecht oder gar nicht gesicherte Datenbanktools wie z.B. phpMyAdmin, mysqldumper oder andere Lücken auf schlecht konfigurierten Servern. Auch zu unsichere Passwörter oder nebenher laufende Scripte mit Sicherheitslücken (alte phpBB2-Foren etc.) bieten hier Angriffsmöglichkeiten.

Der tolle Patch verhindert nur eine harmlose Spielerei, nämlich dass ein Anwender nur für sich ersichtlich sich eigene Fehlermeldungen auf den Schirm zaubern kann. Also anstatt z.B. die Fehlermeldung "Bitte wählen Sie Ihre Anrede aus." könnte sich ein Besucher die nur für sich sichtbare Meldung auf den Schirm zaubern "Dieser Shop ist doof!". Das sieht aber kein anderer Besucher und ist harmlos. Sollte darüber versucht werden schadhaften Code einzuschleusen, fängt dies der Shop mit den installierten Patches ab.

Nicht immer alles glauben, was man an anderen Stellen behauptet. Wenn eine Sicherheitslücke bekannt wurde, hat xtcommerce immer sofort reagiert und einen entsprechenden Patch veröffentlicht. In diesem Fall ist das aber nicht nötig. Außerdem zeigte ja auch die Art der "Berichterstattung", dass es sich hier weder um eine seriöse Quelle handelt noch dass es sich hierbei um echte Aufklärung/Problemlösung handelte. Hier wollte man dem Anschein nach lediglich Besucher locken und Content generieren.

Übrigens würde eine seriöse Quelle niemals Videos ins Netz stellen, auf denen auch nur ansatzweise Anleitungen zum Hacken zu sehen sind. Auch würde eine solche Quelle niemals einen Virus oder dessen Quellcode zum Download anbieten. Weiterhin würde jeder halbwegs intelligente Mensch nach Möglichkeit erst dann auf ein mögliches Sicherheitsrisiko aufmerksam machen, wenn entsprechende geprüfte Gegenmaßnahmen vorliegen.

Denkt doch ab und zu erstmal über die Glaubwürdigkeit und Kompetenz mancher Quellen nach bevor ihr alles glaubt was ihr irgendwo lest. Wenn es tatsächlich ein Problem geben würde, würde auch Mario dies nicht ignorieren und würde entsprechend handeln wie bei allen vorangegangenen Security-Patches zuvor.

[hubbabubba]

Denkt doch ab und zu erstmal über die Glaubwürdigkeit und Kompetenz mancher Quellen nach bevor ihr alles glaubt was ihr irgendwo lest.

Danke für die ausführliche Erläuterung. Aber bitte wie kann man über "Glaubwürdig und Kompetenz" einer Quelle "nachdenken" wenn einem diese vorenthalten wird? Das war es doch was hier kritisiert wird.

mfg

[dangerfreak]

Das ist das Problem am "Bildzeitungs"-Stil. Wenn man die Vorwürfe nicht wenigstens dementiert, wird man irgendwann davon überrollt. Ignoranz ist hier nicht das beste Mittel der Wahl.

Apropos "Glaubwürdigkeit": Wie glaubwürdig ist es, ein neues Forenmitglied "ixtece" aus dem Hut zu zaubern, das sich hier genau zum ersten Mal zu diesem Thema mit einer gewissen Sachkenntnis und Hintergrundinformationen (Video) dazu äußert?!

Dazu kann man sich ja auch seine Gedanken machen...

[ixtece]

Sorry, ich wusste nicht, dass hier Glaubwürdigkeit mit der Anzahl an Beiträgen gleichgesetzt wird und nicht mit dessen Inhalt. Das kannte ich bisher nur von anderer Stelle. Dann mach ich mal meine 50 Postings oder so ...

[mzanier]

Danke für den ausführlichen Beitrag, dem ist auch von mir nichtsmehr hinzuzufügen.

Man sollte Foren wie ecomb** nicht als "hochrangige fachforen" oder glaubwürdige quellen bezeichnen, hier sollte man sich auf Aussagen von Quellen verlassen die sich damit auskennen.

1. http://www.heise.de/security/

2. SecurityFocus: http://search.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=xt%3ACommerce&x=0&y=0

Wie man in den letzten 6 Jahren bei uns gesehen hat, werden bekanntgewordene Sicherheitslecks innerhalb eines Tages behoben, gäbe keinen Grund ein Sicherheitsleck zu verschweigen, warum auch.

[dangerfreak]

@ixtece: Wenn du das bisher "nur von anderer Stelle" kennst (von der ich mich im übrigen distanzieren möchte), frage ich mich, warum du hier noch nie in Erscheinung getreten bist.

Daher drängt sich bei mir schon der Verdacht auf, dass du dich hier hinter einem eben angelegten Pseudonym verstecken willst, obwohl du hier schon langjähriger(?) User bist?!

Wie man in den letzten 6 Jahren bei uns gesehen hat, werden bekanntgewordene Sicherheitslecks innerhalb eines Tages behoben, gäbe keinen Grund ein Sicherheitsleck zu verschweigen, warum auch.

Und dafür sind (wir) die User auch dankbar!

[ixtece]

@dangerfreak: Von der anderen Stelle distanziere ich mich natürlich auch aufs Schärfste. Und ja, ich bin ein langjähriger User hinter einem Pseudonym. Da du ja scheinbar auch die andere Stelle kennst, weisst Du bestimmt auch warum. Ich habe nämlich keine Lust, eine Badword-Verlinkung zu kassieren oder wegen Bier trinken während der Wirtschaftskrise von dort abgemahnt zu werden. Für sowas ist mir meine Zeit zu kostbar.

PS: Schon mein dritter Post! Noch 47!

[MasterChief]

Hallo Hr. Zanier,

hat die Installation des offiziellen Patches Auswirkungen, auch wen SEO-Urls "false" sind ?

danke

[mizzy]

Hallo Hr. Zanier,

hat die Installation des offiziellen Patches Auswirkungen, auch wen SEO-Urls "false" sind ?

danke

welcher offizielle Patch

So wie ich das rauslese gibt es keine Sicherheitslücke und somit auch keinen "offiziellen" Patch

[MasterChief]

dann hast du nicht richtig gelesen, der Patch ist von 11/2008

http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=19

[mizzy]

dann hast du nicht richtig gelesen, der Patch ist von 11/2008

http://www.xt-commerce.info/index.php?_m=downloads&_a=viewdownload&downloaditemid=19

Hallo,

guck mal bitte auf das Datum des Patches.

Das ist vom November

Das hat nichts mit dem hier diskutierten zu tun.

Mit dem dem von Dir genannten habe ich keinerlei Probs mit dem SUMA URL feststellen können

[Andreas04]

... ... Edit

[Dr.Robert]

Warum wird hier eigentlich so ein Geheimnis über die Herkunft von dem "externen Patch" (Februar 2009) gemacht?

Ich sehe das ähnlich, wie @Andreas04 und habe genauso nach dem ersten Lesen von diesem Thread meine eigenen Nachforschungen angestellt.

Insbesondere deshalb, weil ich keinen fehlerhaften Shop betreiben möchte. Bei allen "googeln" kann ich persönlich nur sagen:

Das Thema ist künstlich von einem Forum mit dem Namen ecom/base inzeniert und ins Leben gerufen. Im benannten Forum wurde dieses Sicherheitsloch als sehr wichtiges Thema behandelt und diverse Teilnehmer haben sich an einem Patch beteiligt und diesen veröffentlicht. Dieser Patch ging durch diversere Foren und News. Dieser Patch ist aber alles andere als akzeptabel und verursacht nach Experten-Aussage zusätzliche Probleme.

Experten sagen dazu: "Ein Patch der inszeniert wurde und nur einem niederen Marketing-Zweck von einem Foren-Betreiber dient!" Das betreffende Forum wurde oben bereits genannt und weitere Aktionen von diesem Forum können bei Google gefunden werden:

Wie @Andreas04 bereits schrieb:

Einfach mal bei Google nach "Forum XT Commerce Beitrag zum Security Problem" googgeln.

MFG

Robert

[xtfight]

Dahinter steckt doch vermutlich nur der allgemein bekannte Bellend..f

Erst eingelaufene Foren übernehmen, dann massenhaft klagen und selber nicht besser. So ist er dieser Hunde-Bello und verbreitet nur Unsinn im Netz und seine eigene Person!

Schön, mal immer wieder etwas von diesem Wau-Wau zu lesen.

Insgesamt kann das Thema vernachlässigt werden. Alles nur Show und keine aktuelle Sicherheitslücke! Wir hatten bereits Kontakt mit dem vermeintlichen Internet-Schützer und Bewahrer des sicheren Internet, dem Guru für alle Fragen einer ausgeglichenen Community-Gemeinde etc...

Der hat einige unserer Kunden nur inspiriert, Änderungen vorzunehmen, weil alles so schlimm und gefährlich ist. Nach dem wir den Fall geprüft haben und direkt nachgefragt haben, kam keine klare und definitive Rückantwort.

Für unsere Begriffe nur ein Wichtigtuer, der eine Schaar von Unwissenden um sich vereint hat, die es leider nicht begreifen, wo sie aktiv mitarbeiten.