Externes Security-Update von xtCommerce

[Andreas04]

... ... Edit

[xt:mzanier]

Man sollte nicht alles glauben was in diesem Forum dort verbreitet wird.

Derzeit gibt es keine bekannten sicherheitslecks in Version 3.0.4 SP2.1 (welche bei uns zum Dowload steht). In Diversen Versionen die irgendwo auf dubiosen Seiten angeboten werden sollte man aber grundsätzlich vorsichtig sein.

Auch in xt:Commerce VEYTON gibt es keine bekannten sicherheitslecks, dies wird in beiden versionen durch diverse Filter verhindert.

Zum großen teil bauen diese absichtlichen verunsicherungen einiger Personen nur darauf auf, das der Angreifer schon zugang zum administrationsbereich hat., das man dann natürlich schindluder treiben kann sollte jedem klar sein.

1. Regel -> Sichere Passwörter verwenden die nicht in einem Wörterbuch zu finden sind und aus groß/Klein Buchstaben, Zahlen und Sonderzeichen bestehen, dann ist man schon relativ auf der sicheren seite.

Ein Großteil der Einbrüche in System geschehen immer noch weil zu schwache passwörter verwendet werden, oder weil man sich Shopversionen von irgendwelchen Seiten gezogen hat die nicht auf dem aktuellsten stand sind, oder durch den laienhaften Einbau von irgendwelchen Modulen sicherheitslücken selbst öffnet.

[dangerfreak]

Zitat:

Zitat von mzanier

Ein Großteil der Einbrüche in System geschehen immer noch weil zu schwache passwörter verwendet werden, oder weil man sich Shopversionen von irgendwelchen Seiten gezogen hat die nicht auf dem aktuellsten stand sind, oder durch den laienhaften Einbau von irgendwelchen Modulen sicherheitslücken selbst öffnet.

Der fehlerhafte Moduleinbau ist sicherlich nicht von der Hand zu weisen, aber xt-commerce.com darf sich mit seiner restriktiven Kommunikationspolitik hier selbst auch eine Scheibe abschneiden, wennn die Leute nicht wissen (können), wie der Shop abgesichert bzw. eingerichtet wird.Warum wurde der obige Link z.B. zensiert? Somit lässt sich die Behauptung weder bestätigen noch revidieren...

[hubbabubba]

Wenn schon kein Link dann zitiert doch wenigstens den entsprechenden Textabschnitt der beschreibt welcher Mechanismus als Sicherheitslücke angeprangert wird. Wenn das wirklich Unsinn ist reihe ich mich gern ein und verspotte die Urheber für den Unsinn. :-)

mfg

[Andreas04]

... ... Edit

[Andreas04]

... ... Edit

[xt:mzanier]

Wie geschrieben, zur zeit ist uns kein Sicherheitsleck bekannt (werden bei uns bei bekanntwerden idr auch innerhalb weniger Stunden mit fixes behoben).

Das letzte Update gab es am 20.11.2008, bisher ist es noch keinem gelungen uns einen erfolgreichen einbruch in diese shopversion zu demonstrieren.

Natürlich liest man immer wieder von solchen dingen, aber wenn man die Vorfälle näher untersucht dann lag es immer an eigenverschulden der Shopbetreiber (zb unsicheres Passwort, fremde Frickelmodule von dubiosen Webseiten), oder es waren andere Systeme am Server betrofffen (zb ältere Forensoftware, phpmyadmin etc).

[ixtece]

Der "Security-Patch" ist absoluter Blödsinn. Hier wurde auf Bild-Zeitung-Niveau Panikmache betrieben. Wer die Patches von offizieller Seite installiert hat, sichere Passwörter verwendet und diese in regelmäßigen Abständen auch mal erneuert, der muss sich bei einem guten Provider keine Gedanken machen.

Die an panikmachender Stelle dargestellte Sicherheitslücke wird auch nicht mit dem schlecht gemachten und eher plobemerzeugeneden Patch behoben. Die Einschleusung des Scripts auf dem Webserver setzt den Zugang zu einem Uploadscript voraus. Um an einen Upload zu kommen, muss man ein schlecht programmiertes Upload-Script im Frontend nutzen (gibt ja einige für den xt:Commerce an dubiosen Orten) oder Adminzugang haben. Den Adminzugang bekommen Hacker meist über schlecht oder gar nicht gesicherte Datenbanktools wie z.B. phpMyAdmin, mysqldumper oder andere Lücken auf schlecht konfigurierten Servern. Auch zu unsichere Passwörter oder nebenher laufende Scripte mit Sicherheitslücken (alte phpBB2-Foren etc.) bieten hier Angriffsmöglichkeiten.

Der tolle Patch verhindert nur eine harmlose Spielerei, nämlich dass ein Anwender nur für sich ersichtlich sich eigene Fehlermeldungen auf den Schirm zaubern kann. Also anstatt z.B. die Fehlermeldung "Bitte wählen Sie Ihre Anrede aus." könnte sich ein Besucher die nur für sich sichtbare Meldung auf den Schirm zaubern "Dieser Shop ist doof!". Das sieht aber kein anderer Besucher und ist harmlos. Sollte darüber versucht werden schadhaften Code einzuschleusen, fängt dies der Shop mit den installierten Patches ab.

Nicht immer alles glauben, was man an anderen Stellen behauptet. Wenn eine Sicherheitslücke bekannt wurde, hat xtcommerce immer sofort reagiert und einen entsprechenden Patch veröffentlicht. In diesem Fall ist das aber nicht nötig. Außerdem zeigte ja auch die Art der "Berichterstattung", dass es sich hier weder um eine seriöse Quelle handelt noch dass es sich hierbei um echte Aufklärung/Problemlösung handelte. Hier wollte man dem Anschein nach lediglich Besucher locken und Content generieren.

Übrigens würde eine seriöse Quelle niemals Videos ins Netz stellen, auf denen auch nur ansatzweise Anleitungen zum Hacken zu sehen sind. Auch würde eine solche Quelle niemals einen Virus oder dessen Quellcode zum Download anbieten. Weiterhin würde jeder halbwegs intelligente Mensch nach Möglichkeit erst dann auf ein mögliches Sicherheitsrisiko aufmerksam machen, wenn entsprechende geprüfte Gegenmaßnahmen vorliegen.

Denkt doch ab und zu erstmal über die Glaubwürdigkeit und Kompetenz mancher Quellen nach bevor ihr alles glaubt was ihr irgendwo lest. Wenn es tatsächlich ein Problem geben würde, würde auch Mario dies nicht ignorieren und würde entsprechend handeln wie bei allen vorangegangenen Security-Patches zuvor.

[hubbabubba]

Zitat:

Zitat von ixtece

Denkt doch ab und zu erstmal über die Glaubwürdigkeit und Kompetenz mancher Quellen nach bevor ihr alles glaubt was ihr irgendwo lest.

Danke für die ausführliche Erläuterung. Aber bitte wie kann man über "Glaubwürdig und Kompetenz" einer Quelle "nachdenken" wenn einem diese vorenthalten wird? Das war es doch was hier kritisiert wird.

mfg

[dangerfreak]

Das ist das Problem am "Bildzeitungs"-Stil. Wenn man die Vorwürfe nicht wenigstens dementiert, wird man irgendwann davon überrollt. Ignoranz ist hier nicht das beste Mittel der Wahl.

Apropos "Glaubwürdigkeit": Wie glaubwürdig ist es, ein neues Forenmitglied "ixtece" aus dem Hut zu zaubern, das sich hier genau zum ersten Mal zu diesem Thema mit einer gewissen Sachkenntnis und Hintergrundinformationen (Video) dazu äußert?!
Dazu kann man sich ja auch seine Gedanken machen...