Security Bulletin 2019-001

Die folgende Sicherheitslücke wurde identifiziert:

Zusammenfassung

Mit einer speziell gestalteten URL kann ein Angreifer vollen Zugriff auf das Administrationspanel erhalten.

Status

  • bis jetzt ist kein 0-Day-Exploit bekannt.
  • behoben, Patch-Releases am 30. Juli verfügbar
  • Workaround verfügbar

Auswirkung

Ein Angreifer kann vollen Zugriff auf eine OXID eShop-Installation erhalten. Dazu gehören alle Warenkorboptionen, Kundendaten und die Datenbank. Es ist keine Interaktion zwischen dem Angreifer und dem Opfer erforderlich.

Betroffene Produkte, Versionen und Plattformen

Produkte:

  • OXID eShop Enterprise Edition (“EE”)
  • OXID eShop Professional Edition (“PE”)
  • OXID eShop Community Edition (“CE”)

Versionen:

  • OXID eShop EE, PE und CE v6.0.0 – v6.0.4
  • OXID eShop EE, PE und CE v6.1.0 – v6.1.3

Plattformen:

  • Die oben genannten Releases sind auf allen Plattformen betroffen.

Lösung:

Das Problem wurde in den folgenden Releases behoben:

  • OXID eShop Enterprise Edition v6.1.4
  • OXID eShop Professional Edition v6.1.4
  • OXID eShop Community Edition v6.1.4
  • OXID eShop Enterprise Edition v6.0.5
  • OXID eShop Professional Edition v6.0.5
  • OXID eShop Community Edition v6.0.5

Bug-Tracker-Eintrag (bleibt bis zum 30. Juli im Status „private“): https://bugs.oxid-esales.com/view.php?id=7002

Provisorische Abhilfe

Bitte beachten Sie, dass ein Fix für End-of-Life-Versionen nicht angeboten wird, da sie nicht betroffen sind. Wenn Sie eine der betroffenen Versionen verwenden, aktualisieren Sie bitte Ihren OXID eShop sofort auf v6.0.5 oder 6.1.4. Falls Sie jedoch nicht zeitnah aktualisieren können, wenden Sie den hier beschriebenen Workaround an, um Ihren Shop zu schützen:

Fügen Sie die folgenden mod_rewrite-Regeln direkt nach RewriteBase / in der Datei source/.htaccess line 4 hinzu:

RewriteCond %{QUERY_STRING} \bsorting=[^\&\=]*[^a-z]+[^\&\=]*(\&|$) [NC]
RewriteRule .* - [F]

Verwenden Sie dieses Blocken nur als temporäre Lösung und aktualisieren Sie Ihren Shop so schnell wie möglich auf eine unterstützte Version.

Danksagung

Dieses Sicherheitsproblem wurde von Sicherheitsforschern bei ripstech.com gemeldet. Ebenso gilt unser Dank dem SysEleven-Security-Team für die Unterstützung.

Bleiben Sie auf dem Laufenden

Um die kommenden OXID Security Bulletins zu erhalten, abonnieren Sie bitte den RSS-Feed: https://oxidforge.org/en/shop/development-security/feed.

Wie man Sicherheitsprobleme meldet

Erfahren Sie, wie Sie Sicherheitsprobleme melden können auf unserer Security Übersichtsseite.

Fragen & Antworten

Es gibt einen Admin-Benutzer, den Sie nicht kennen. Sein Name und seine E-Mail-Adresse sind Ihnen unbekannt. Sie können diese Informationen finden, indem Sie die folgende SQL-Abfrage ausführen:

SELECT oxid, oxusername, oxcreate, oxtimestamp FROM oxuser WHERE oxrights='malladmin';

Ein Angreifer erhält Administratorrechte und damit alle Möglichkeiten eines normalen Shop-Administrators. Dazu gehört das Ändern der Shop-Einstellungen, Produktdaten, Preise, Rabatte, aber auch das Ausführen von PHP-Code und SQL-Abfragen, das Einfügen von Schadcode in die Templates, das Abrufen der Kundendaten, einschließlich des Passworts, usw.

Wir empfehlen dringend, alle der folgenden Initiativen zu ergreifen:

Wenden Sie alle Workarounds an

Führen Sie den Workaround durch der im Security Bulletin 2019-001 vorgeschlagen wurde, um weitere Angriffe abzuwehren.

Daten- und Dateisicherung für weitere Nachforschungen

Legen Sie lokale Kopien Ihrer Daten und Dateien für weitere Nachforschungen an: Kopieren Sie den Anwendungscode inklusive Erweiterungen, der Log-Files (für Datenbankserver, Webserver, des Systems, PHP-Logs usw) und einen Datenbank-Dump. Laden Sie eine saubere Version des OXID eShop und aller benutzten Erweiterungen hoch. Prüfen Sie die Log-Dateien auf verdächtige Meldungen. Prüfen Sie den Anwendungscode und den der Erweiterungen auf Schadsoftware. Prüfen Sie Ihr System auf Backdoors. Bitte beachten Sie: Wenn Sie verschlüsselten Code im OXID eShop benutzen, wird Code Injection nicht funktionieren und stattdessen eine Fehlermeldung ausgeben.

Weiterführende Literatur:

Informieren Sie Ihre Kunden

Halten Sie Ihre Kunden dazu an, ihre Passwörter im Shop (und falls diese anderweitig benutzt werden auch dort) umgehend zu ändern.

Ändern Sie das reguläre Admin-Passwort:

UPDATE oxuser SET oxusername='###YOUR EMAIL HERE###', oxpassword='xxx' WHERE oxid='oxdefaultadmin';
Stoßen Sie danach den Passwort-zurücksetzen-Prozess im Frontend an.

Ändern Sie das SMTP-Passwort

Ändern Sie das SMTP-Passwort, falls es im Administrationsbereich gesetzt wurde.

Unautorisierte Änderungen rückgängig machen

Machen Sie unautorisierte Änderungen der Shop-Optionen (Nachlässe, Rabatt-Codes, …) rückgängig.

  • Benutzen Sie den vorgeschlagenen Workaround in diesem Security Bulletin, um weitere Angriffe zu vermeiden!
  • Aktualisieren Sie Ihre OXID eShop Installation schnellstmöglich!

Wir wissen bisher von keinem Angriff, der diese Sicherheitslücke ausnutzt. Wir haben im Vorfeld Kunden, Partner, Benutzer und Freunde vorab über die Sicherheitslücke informiert, so dass sie Maßnahmen ergreifen konnten, bevor die Sicherheitslücke bekannt wurde.

Ja: Der oben in diesem Security Bulletin vorgeschlagene Workaround kann global eingestellt werden und gilt somit für alle Installationen auf dem Server.

Nein, allerdings sollten Sie immer ein SSL-Zertifikat benutzen, um andere Angriffe zu verhindern.

 

 



Start the discussion at OXID forums

Prior comments
1 Antwort

Trackbacks & Pingbacks

  1. […] article is available in German as […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.