Abo
  • Services:
Anzeige
Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Kritische Sicherheitslücke: Angreifer können Adminrechte in Oxid-E-Shop erlangen

Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Eine Sicherheitslücke im E-Shop-System Oxid ermöglicht Angreifern den Zugriff auf das Admininterface, es kann auch Code ins Frontend injiziert werden. Aktuelle Versionen werden mit einem Patch abgesichert, für ältere existiert lediglich ein Workaround.

Der deutsche Softwarehersteller Oxid Esales hat eine kritische Sicherheitslücke in dem Produkt Oxid-E-Shop geschlossen. Angreifer konnten mithilfe manipulierter HTTP-Get- und HTTP-Post-Requests Zugriff auf das Admininterface erlangen. Mittlerweile gibt es einen Patch, außerdem lässt sich das Problem auch mit einem Workaround beheben.

Anzeige

Die Sicherheitslücke wurde von dem Unternehmen selbst entdeckt, in mehreren Code-Audits soll sie zuvor unentdeckt geblieben sein. Betroffen sind alle Oxid-E-Shop-Produkte in der Enterprise-, Professional- und Community-Edition. Für die Sicherheitslücke wurde die CVE-2016-5072 vergeben.

Angreifer können sich in ungepatchten Systemen über das Frontend der Webseite Zugriff auf das Admininterface verschaffen und damit auf Kundendaten und die Datenbank zugreifen. Außerdem sollen Angreifer in der Lage sein, PHP-Code auszuführen oder anderen Code in das Frontend einzuschleusen.

Ältere Versionen mit Workaround absichern

Die aktuellen Versionen werden mit einem Update versorgt, das umgehend installiert werden sollte. Ältere Versionen hingegen lassen sich nur mit einem Workaround absichern.

Dazu sollte zunächst der Admin-Ordner über die htcaccess-Datei abgesichert werden. Oxid stellt dafür eine Anleitung bereit. Außerdem sollte der standardmäßig angelegte Adminnutzer ersetzt werden. Dazu muss im Admininterface zunächst ein neuer Nutzer mit entsprechenden Rechten angelegt werden. Nach einem erneuten Login mit dem neuen Benutzernamen muss an die URL der Zusatz "&cl=user_list&fnc=deleteentry&oxid=oxdefaultadmin" angehängt und mit Enter aufgerufen werden. Nach einem erneuten Login sollte überprüft werden, ob der ursprüngliche Admin-Nutzer tatsächlich entfernt wurde.

Außerdem kann die Anwendung mithilfe einer Webapplication-Firewall gegen einen Angriff abgesichert werden. Dazu hat Syseleven eine Implementation für Modsecurity entwickelt.

Disclaimer: Syseleven ist der Hoster von Golem.de.


eye home zur Startseite
hg (Golem.de) 14. Jun 2016

Danke für den Hinweis, habe ich korrigiert.



Anzeige

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Kassel
  2. Daimler AG, Affalterbach
  3. Dataport, Hamburg
  4. Daimler AG, Ulm


Anzeige
Spiele-Angebote
  1. 14,99€
  2. 29,99€
  3. (-75%) 2,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend

  2. Big-Jim-Sammelfiguren

    Ebay-Verkäufer sind ehrlich geworden

  3. Musikstreaming

    Soundcloud startet Abo-Service in Deutschland

  4. Frankreich

    Filmförderung über "Youtube-Steuer"

  5. Galaxy S8

    Samsung will auf Klinkenbuchse verzichten

  6. Asteroid OS

    Erste Alpha-Version von offenem Smartwatch-OS veröffentlicht

  7. Bemannte Raumfahrt

    Esa liefert ein zweites Servicemodul für Orion

  8. Bundesverwaltungsgericht

    Firmen müssen Rundfunkbeitrag zahlen

  9. Zenbook 3 im Test

    Macbook-Konkurrenz mit kleinen USB-Typ-C-Problemen

  10. id Software

    Update für Doom entfernt Denuvo



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

  1. Re: Das Problem sind die Käufer

    spitfire2k | 13:01

  2. Re: und wenn man ...

    c3rl | 13:00

  3. Re: Bei den heutigen Kinopreisen

    Friko44 | 12:59

  4. Re: Emulationen sind immer gleichbedeutend wie...

    aetzchen | 12:58

  5. Re: Verstehe euch nicht

    drvsouth | 12:58


  1. 12:42

  2. 12:02

  3. 11:48

  4. 11:40

  5. 11:32

  6. 11:24

  7. 11:13

  8. 10:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel