Sicherheits-Update für Shopsystem xt:commerce
Das Update soll eine SQL-Injection-Schwachstelle im Shop schließen. Die Lücke soll bereits aktiv zum Zugriff auf die Datenbanken von Webshops ausgenutzt werden, um an die Logindaten und den MD5-Passwort-Hash des Administrators zu gelangen.
- Daniel Bachfeld
Die Entwickler des quelloffenen Shop-Systems xt:commerce haben einen Sicherheitspatch für Version 3.0.4 Sp2.1 vorgelegt, der eine SQL-Injection-Schwachstelle im Shop schließen soll. Die Lücke soll bereits aktiv zum Zugriff auf die Datenbanken verwundbarer Webshops ausgenutzt werden, um an die Logindaten und den MD5-Passsort-Hash des Administrators zu gelangen. Betreiber von Webshosp auf Basis von xt:commerce sollten den Patch daher so schnell wie möglich installieren.
Da der Patch nur für 3.0.4 Sp2.1 zur Verfügung steht, empfehlen die Entwickler dringend das Update auf diese Version. Für einen erfolgreichen Angriff müssen jedoch im Shop suchmaschinenfreundliche URLs (SEO URLs) und in der php.ini magic_quotes_gpc = on konfiguriert sein, was aber beispielsweise bei Debian und Ubuntu standardmäßig der Fall ist.
- Sicherheitspatch für Version 3.0.4 Sp2.1, Meldung von xt:commerce
(dab)
