QuickFix10 für commerce:SEO v2.1.2.9 Plus Sicherheitsupdate

  • Hi mbraune,
    ich habe die Lücke gefixt, habe aber dennoch eine Frage: d.h. es werden die Daten aus dem Shop ausgelesen und dann die Mails versendet? Kannst du mir mal eine solche Mail weiterleiten? Ich würde das gerne mal sehen. -> Gerne hier hin: agoyafobew@spamavert.com (ist ne temporäre E-Mail-Adresse).

    Gruss,
    Coasthouse

  • Hey Coasthouse,

    mit der Lücke ist es z.B. möglich, per sql injection einen Adminaccount einzuschleusen, dieser loggt sich dann ein, und lädt z.B. über den contentmanager eine PHP datei hoch wie einen filebrowser, damit guckt er sich die configure-dateien und hat dann Vollzugriff, Datenbankexport und weg sind die daten - ob das der genaue weg ist, wie es vonstatten ging kann ich nicht sagen, wär aber wohl das einfachste.

    Die Mail kann ich dir nicht weiterleiten da ich den betroffenen Kunden nicht nennen will und auch noch nicht zu 100% sicher bin, dass das Datenleck im Shop zu suchen ist, aber die Umstände sprechen dafür. Die erhaltene Mail, wurde nicht über den Shop versendet, es wurden "nur" die Daten verwendet, eine Landingpage im Kundendesign erstellt usw, Rechtschreibung ist auch fast perfekt, d.h. nicht der übliche China-Krams sondern ziemlich gut gemacht, also sehr gezielt das ganze.

  • Alles klar, vielen Dank für deine Erläuterungen! :)

    Das mit dem "nicht" Weiterleiten der Mail kann ich verstehen, kein Problem. Hätte mich nur mal interessiert, wie die Mail aussieht.

  • Nun, es scheint ja jetzt alles raus zu sein. Wir wurden vor ca. 3 Wochen auf das Thema aufmerksam gemacht und haben versucht, alle Nutzer zu informieren. Der Entdecker sicherte uns zu, nicht vor dem 01.07.2012 die Sache publik zu machen.
    Das Problem trifft wie bemerkt, alle xtc und Forks. Durch einen Überlauf wird der Adminaccount sichtbar und somit kann man sich im Shop einloggen. Es wird nicht mal ein neuer Account dafür angelegt oder benötigt.
    Das hat uns natürlich zeitlich auch durch einander gebracht, mussten bei diversen Kunden fixen :) In der v2.2 sind aber noch zusätzliche Sicherungsmassnahmen eingbaut. Die werden in Kürze bei commerce-seo.de dokumentiert.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>

  • Zitat

    In der v2.2 sind aber noch zusätzliche Sicherungsmassnahmen eingbaut. Die werden in Kürze bei commerce-seo.de dokumentiert.


    Womit wen noch irgendwo ( plugin / module / drit und co) dort ähnliche bugs drin sind dieser abgefangen werden sollten.+

  • Also mit Lastschrift erkenne ich aktuell keine Probleme mehr. Die Bankdaten stehen korrekt in der Bestellung

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>

  • ist auch schwer oder (für mich gar nicht) zu reproduzieren. Wenn ich selbst ein neues Konto anlegen und bestelle per Lastschrift geht alles normal. Ab und an kommen aber Bestellungen rein, da steht nur "Lastschrift" aber die Bankdaten fehlen.

  • Hallo mr. Google ;)

    Dieser Kunden/Bestellungen haben die dan auch wirklich einer Bestellung gemacht und dieser Datei dort eingegeben?

    Oder vielleicht später nach eingabe in Bestell/Checkout noch etwas geänderd?
    UNd sind dan die eingegebene Daten wider weg?

    Einmal editiert, zuletzt von jotest (19. Juli 2012 um 08:41)

  • Wen es so ist , so etwas ( mit auswahl dropdown ) haben wir auch bei einer Zahlmodule, deswegen den tip, wie man dieser dan beheben kan weis ich aber nicht, muss dan etwas mehr mit den Sessions gespeichert werden, dies mit "dropdown auswahl form " in session speichern scheint es nicht so einfach in checkout payment zu sein.

    Also wen Kunde die Bestellung in einem durchlauft ohne änderungen am Ende und alles wirklich richtig und volständig eingegeben ist sollte es gehen, wen aber wie hier nach den eingabe Zahlart und den Felden dort noch etwas geänderd werdet gibt es dieser hier. ( oder den Kunde muss alles neu eingeben beim Zahlinfo.)

    Einmal editiert, zuletzt von jotest (19. Juli 2012 um 10:50)