Support Rainbow-Web.com
Drucken E-Mail

Neue Sicherheitslücke in xt:commerce - basierenden Shopsystemen entdeckt !

Die Shop-Software xt:Commerce 3 und deren Ableger wie Gambio und Modified enthalten zwei Fehler, die es in Kombination erlauben, Shops komplett zu übernehmen. Ersten groben Schätzungen zufolge wird die Software ungefähr 50.000 Shops eingesetzt. Zum Glück gibt es Workarounds und Patches, um sich zu schützen.

Entdeckt wurde die Lücke von den Entwicklern von Gambio, die das Problem selbst als kritisch einstufen und deshalb alle ihre registrierten Shop-Betreiber bereits informiert haben. Die Lücken wurde bei internen Tests von Gambio entdeckt; deshalb gehen die Entwickler davon aus, dass sie derzeit noch nicht aktiv ausgenutzt werden – was sich aber jetzt sehr schnell ändern dürfte.

Es handelt sich bei den Lücken um ein persistentes XSS und eine CSRF-Problem. Richtig ausgenutzt, kann ein Angreifer damit den Admin-Zugang des Shops kapern, wie Gambio heise Security glaubhaft demonstrieren konnte. Zum Glück lässt sich das Problem nicht vollautomatisch ausnutzen; dass der rechtmäßige Eigentümer zunächst seine Admin-Seiten aufrufen muss, beschränkt die mögliche Ausbreitung ein wenig.

Betroffen sind xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und eventuell weitere xt:Commerce-Weiterentwicklungen.

Den entsprechenden Patch erhalten betroffende Shopbetreiber unter:

http://www.gambio.de/security-patch-dez2013-div.html

Kunden von IPS Host können die Installation unter in unserem Shop beauftragen.

 
Drucken E-Mail

Aus gegebenem Anlaß:

Uns erreichen zur Zeit wieder vermehrt Meldungen unserer Kunden die einen auf xt:commerce 3.04 basierenden Shop betreiben das diese Opfer von Malware-Infektionen wurden.

Eine Infektion mit Malware ist nicht nur ärgerlich, verschreckt es doch auch Kunden die Ihren Shop besuchen und von den lokalen Virenwächtern (mit Recht) zum Verlassen der Seite aufgefordert werden. Und - wird erst einmal der Suchmaschinen-Gigant darauf "aufmerksam" bekommt man bei Listung der eigenen Seite in den Suchergebnissen auch noch ein unschönes Label. Dies - und nicht zuletzt die auf diese Weise mühsam erarbeitete Reputation der Domain führen zu massiven Verdiensteinbußen führen.

Es bewahrheitet sich also wieder - es gibt kein 100%ig sicheres System. Aber - SIE können einiges tun damit Ihr Shop hiervon verschont bleibt und sollte es doch einmal geschehen sein, den Schaden schnell und kostengünstig zu beheben:

  1. ändern Sie möglichst oft alle relevanten Passwörter !
    • hierzu zählen: FTP- und Confixx-Passwörter
    • sowie Passwörter der Shopadmin-Zugänge
  2. machen Sie regelmäßig Backups Ihrer Shopdateien sowie der Shopdatenbank

In den meisten Fällen gelangen Schädlinge über "erschnüffelte" FTP-Zugänge an die Shopdateien und manipulieren diese. Ein häufiges Ändern des Passwortes mit möglichst schwer zu erratenen Passwörtern macht so ein Eindringen fast unmöglich. Nutzen Sie hierbei möglichst wahllose Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie "+,-,/,#" o.ä.

Sollte der Shop doch einmal infiziert sein, oder beim Aufruf in der Statuszeile merkwürdige URLs aufrufen wollen dann nutzen Sie ein möglichst kürzlich erstelltes Backup um die Infektionen zu beheben. Wichtig auch hier - sofort nach Bemerken -> Passwort ändern.

Support IPS / IPS Host

 
Drucken E-Mail

Kampf gegen Piraterie oder Zensur?

Im Netz und auch im öffentlichen Leben findet zur Zeit weltweit ein Sturm auf eine US-Initiative statt die seinesgleichen bisher nicht gesehen hat. Selbst Größen im Internet wie Google oder Wikipedia beteiligten sich mit teilweisen Sperren des Contents oder "Zensur"-Balken an diesen Aktionen.

Das ACTA (Anti-Counterfeiting-Trade-Agreement, zu deutsch "Handelsabkommen zur Abwehr von Fälschungen) stellt ein internationales Abkommen zur Bekämpfung von Urheberrechtsverletzungen dar - so in der Theorie. Und doch teilt ACTA im Moment das Heer der Internetnutzer in 3 Parteien:

  1.  Befürworter
  2. Gegner 
  3. Schulterzucker

Unter 1. findet man zuallererst eine Lobby von Industriemagnaten und Regierungen, der 2. Gruppe gehören vor allem Portalbetreiber wie youtube u.ä, Internetnutzer aber auch Betreiber privater wie geschäftlicher Webseiten an.

Interessant ist hier aber eigentlich die 3. Gruppe. Denn die scheinbare Gleichgültigkeit hier resultiert hier zumeist nicht aus purem Desinteresse sondern aus einem massiven Mangel an Informationen. Denn ACTA wird hinter verschlossenen Türen ausgehandelt ! Es wird ein Urteil über das wohl globalisierendste und demokratischste Medium aller Zeit gefällt - von einer selbsternannten elitären Lobby. Kommt es zur Unterzeichnung von ACTA wird es das Internet in der uns bekannten Form nicht mehr geben - dieses ernüchternde Fazit ziehen alle, die sich mit dem Thema auseinandersetzen !

Weitere Infos gibts es hier:

http://www.tagesschau.de/ausland/acta110.html

http://www.tagesschau.de/inland/acta178.html

http://www.youtube.com/watch?v=ME-0CywyJjc

 
Drucken E-Mail

Domains vorbestellen – von .AFRICA bis .XXX

Domain-Favoriten unter neuen TLDs kostenlos und unverbindlich vorbestellen!
Bestellen Sie schon jetzt kostenlos und unverbindlich vor!
Die Einführung neuer TLDs wird auf etwa Ende 2012* geschätzt. Marktorienterte Domain-Akteure nutzen jedoch schon jetzt die Möglichkeit, gewinnträchtige Domains unter neuen Top-Level-Domains unverbindlich vorzubestellen.
Eine breite Palette an neuen TLDs...

mehr...
 
Drucken E-Mail

Bloggen mit WordPress

wird immer populärer. Sei es nun um sich auszutauschen oder zu eCommerce-Zwecken. Natürlich läuft WordPress auf unseren Server und auf Ihrem Web bei uns. Wenn Sie einen WordPress-Blog installieren wollen setzen Sie sich mit unserem Support in Verbindung damit wir für Ihr Web das PHP-Memory-Limit vorsorglich erhöhen können. Dies führt bei den meisten Installationen (mit allen vorinstallierten Modulen und Plugins) zu Fehlern (weiße Seite).

 
Weitere Beiträge...
<< Start < Zurück 1 2 3 Weiter > Ende >>

Seite 2 von 3

Kundenlogin

Um unser Ticketsystem nutzen zu können müssen Sie sich einmalig auf unserer Supportseite registrieren. Nur so kann eine 100% Nachvervolgbarkeit gewährleistet werden.

  • 2 Beiträge sind getagged mit cgi
  • 1 Beiträge sind getagged mit Client
  • 2 Beiträge sind getagged mit confixx
  • 2 Beiträge sind getagged mit DNS
  • 2 Beiträge sind getagged mit eMail
  • 3 Beiträge sind getagged mit FTP
  • 1 Beiträge sind getagged mit Gutscheine
  • 1 Beiträge sind getagged mit Kündigung
  • 1 Beiträge sind getagged mit Kupons
  • 2 Beiträge sind getagged mit Laufzeit
  • 1 Beiträge sind getagged mit Login
  • 2 Beiträge sind getagged mit perl
  • 3 Beiträge sind getagged mit php
  • 1 Beiträge sind getagged mit Referrer
  • 1 Beiträge sind getagged mit Refs
  • 1 Beiträge sind getagged mit Reseller
  • 2 Beiträge sind getagged mit Serverpfade
  • 2 Beiträge sind getagged mit Shopsoftware
  • 1 Beiträge sind getagged mit SPAM
  • 1 Beiträge sind getagged mit SSL
  • 2 Beiträge sind getagged mit Upload
  • 1 Beiträge sind getagged mit Versand
  • 1 Beiträge sind getagged mit Verschlüsselung
  • 2 Beiträge sind getagged mit Vertrag
  • 2 Beiträge sind getagged mit xt:commerce