zurück zum Artikel

Eine weitere Sicherheitslücke in xt:Commerce 3 und einigen der Nachfolger wird derzeit ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes in Online-Shops zu entwenden. Betroffen sind über 230.000 Kunden vor allem aus Deutschland und Österreich.

Eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 230.000 Kunden vor allem aus Deutschland und Österreich. Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified vor Version 1.05 SP1; die Varianten xt:Commerce 4, Gambio und aktuelle Versionen von commerce:SEO und Modified sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO [1], die auch einen Server im Internet lokalisierten, der geklaute Datensätze enthielt. heise Security stellte bei einer schnellen Sichtung fest, dass es sich bei den dort abgelegten Passwort-Dumps größtenteils um ungesalzene MD5-Hashes handelt, die halbwegs ernsthaften Knackversuchen nicht viel Widerstand entgegensetzen. Die mittlerweile informierten Shop-Betreiber sollten also ihre Kunden warnen, dass das Passwort kompromittiert wurde. Ein schneller Check förderte immerhin über 231.000 verschiedene E-Mail-Adressen vor allem aus Deutschland und Österreich zu Tage.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat entdeckten Lücke [2] signalisierte der Hersteller, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Commerce:SEO stellt einen Fix [3] bereit, der auch xt:Commerce 3 und xtcModified 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen.

Update 13.1.2014, 11:30: Angaben zu verwundbaren Modified-Versionen gemäß Hersteller-Angaben [4] nachgetragen. (ju [5])

URL dieses Artikels:
https://www.heise.de/-2083403

Links in diesem Artikel:
[1] http://www.commerce-seo.de/
[2] https://www.heise.de/news/Tausende-Online-Shops-auf-Basis-von-xt-Commerce-akut-bedroht-2065104.html
[3] http://www.commerce-seo.de/sicherheitsfix-fuer-xtcommerce-modified-shopsoftware.html
[4] http://www.modified-shop.org/forum/index.php?topic=28894
[5] mailto:ju@ct.de

Copyright © 2014 Heise Medien