Tausende Online-Shops auf Basis von xt:Commerce akut bedroht
Die Shop-Software xt:Commerce 3 und deren Ableger wie Gambio und Modified enthalten zwei Fehler, die es in Kombination erlauben, Shops komplett zu übernehmen. Zum Glück gibt es Workarounds und Patches, um sich zu schützen.
Die Shop-Software xt:Commerce 3 und deren Ableger wie Gambio und Modified enthalten zwei Fehler, die es in Kombination erlauben, Shops komplett zu übernehmen. Ersten groben Schätzungen zufolge wird die Software ungefähr 50.000 Shops eingesetzt. Zum Glück gibt es Workarounds und Patches, um sich zu schützen.
Entdeckt wurde die Lücke von den Entwicklern von Gambio, die das Problem selbst als kritisch einstufen und deshalb alle ihre registrierten Shop-Betreiber bereits informiert haben. Die Lücken wurde bei internen Tests von Gambio entdeckt; deshalb gehen die Entwickler davon aus, dass sie derzeit noch nicht aktiv ausgenutzt werden – was sich aber jetzt sehr schnell ändern dürfte.
Es handelt sich bei den Lücken um ein persistentes XSS und eine CSRF-Problem. Richtig ausgenutzt, kann ein Angreifer damit den Admin-Zugang des Shops kapern, wie Gambio heise Security glaubhaft demonstrieren konnte. Zum Glück lässt sich das Problem nicht vollautomatisch ausnutzen; dass der rechtmäßige Eigentümer zunächst seine Admin-Seiten aufrufen muss, beschränkt die mögliche Ausbreitung ein wenig.
Betroffen sind xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und eventuell weitere xt:Commerce-Weiterentwicklungen. Der Hersteller von xt:Commerce ist bereits informiert; eine Stellungnahme, ob auch Version Veyton 4 betroffen ist und ob es einen offiziellen Patch geben wird, steht derzeit noch aus.
Reagiert haben bereits Gambio und Modified. Die Gambio-Entwickler stellen außerdem auch einen inoffiziellen Patch für xt:Commerce 3 bereit, der lediglich eine Datei betrifft, also leicht zu installieren ist (und auch wieder zu entfernen). Bis zum Einspielen eines Patches sollten Admins unbedingt einen Bogen um die Seite "Wer ist Online" machen.
Update 13.12.2013, 11:10: Mario Zanier, CEO von xt:Commerce, erklärte gegenüber heise Security, dass Version 4 aufgrund komplett neuer Codebase nicht von diesem Problem betroffen sei. Einen Patch für Version 3 wird es wohl nicht geben. "xt:Commerce 3 ist seit 2008 End of Life und ohne Herstellersupport" erklärte Zanier und rät betroffenen Nutzern "ein Update auf das das aktuelle xt:Commerce 4.1.0 Version durchzuführen." (ju)
