20.11.2008 16:52
Die Entwickler des quelloffenen Shop-Systems xt:commerce haben einen Sicherheitspatch für Version 3.0.4 Sp2.1 vorgelegt, der eine SQL-Injection-Schwachstelle im Shop schließen soll. Die Lücke soll bereits aktiv zum Zugriff auf die Datenbanken verwundbarer Webshops ausgenutzt werden, um an die Logindaten und den MD5-Passsort-Hash des Administrators zu gelangen. Betreiber von Webshosp auf Basis von xt:commerce sollten den Patch daher so schnell wie möglich installieren.
Da der Patch nur für 3.0.4 Sp2.1 zur Verfügung steht, empfehlen die Entwickler dringend das Update auf diese Version. Für einen erfolgreichen Angriff müssen jedoch im Shop suchmaschinenfreundliche URLs (SEO URLs) und in der php.ini magic_quotes_gpc = on konfiguriert sein, was aber beispielsweise bei Debian und Ubuntu standardmäßig der Fall ist.
(dab)
English version: Security update for xt:commerce Shop system
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-217631
Mehr zum Thema SQL-Injection
