Abo
  • Services:
Anzeige
Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Kritische Sicherheitslücke: Angreifer können Adminrechte in Oxid-E-Shop erlangen

Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Eine Sicherheitslücke im E-Shop-System Oxid ermöglicht Angreifern den Zugriff auf das Admininterface, es kann auch Code ins Frontend injiziert werden. Aktuelle Versionen werden mit einem Patch abgesichert, für ältere existiert lediglich ein Workaround.

Der deutsche Softwarehersteller Oxid Esales hat eine kritische Sicherheitslücke in dem Produkt Oxid-E-Shop geschlossen. Angreifer konnten mithilfe manipulierter HTTP-Get- und HTTP-Post-Requests Zugriff auf das Admininterface erlangen. Mittlerweile gibt es einen Patch, außerdem lässt sich das Problem auch mit einem Workaround beheben.

Anzeige

Die Sicherheitslücke wurde von dem Unternehmen selbst entdeckt, in mehreren Code-Audits soll sie zuvor unentdeckt geblieben sein. Betroffen sind alle Oxid-E-Shop-Produkte in der Enterprise-, Professional- und Community-Edition. Für die Sicherheitslücke wurde die CVE-2016-5072 vergeben.

Angreifer können sich in ungepatchten Systemen über das Frontend der Webseite Zugriff auf das Admininterface verschaffen und damit auf Kundendaten und die Datenbank zugreifen. Außerdem sollen Angreifer in der Lage sein, PHP-Code auszuführen oder anderen Code in das Frontend einzuschleusen.

Ältere Versionen mit Workaround absichern

Die aktuellen Versionen werden mit einem Update versorgt, das umgehend installiert werden sollte. Ältere Versionen hingegen lassen sich nur mit einem Workaround absichern.

Dazu sollte zunächst der Admin-Ordner über die htcaccess-Datei abgesichert werden. Oxid stellt dafür eine Anleitung bereit. Außerdem sollte der standardmäßig angelegte Adminnutzer ersetzt werden. Dazu muss im Admininterface zunächst ein neuer Nutzer mit entsprechenden Rechten angelegt werden. Nach einem erneuten Login mit dem neuen Benutzernamen muss an die URL der Zusatz "&cl=user_list&fnc=deleteentry&oxid=oxdefaultadmin" angehängt und mit Enter aufgerufen werden. Nach einem erneuten Login sollte überprüft werden, ob der ursprüngliche Admin-Nutzer tatsächlich entfernt wurde.

Außerdem kann die Anwendung mithilfe einer Webapplication-Firewall gegen einen Angriff abgesichert werden. Dazu hat Syseleven eine Implementation für Modsecurity entwickelt.

Disclaimer: Syseleven ist der Hoster von Golem.de.


eye home zur Startseite
hg (Golem.de) 14. Jun 2016

Danke für den Hinweis, habe ich korrigiert.



Anzeige

Stellenmarkt
  1. Herbert Kannegiesser GmbH, Vlotho
  2. Robert Bosch GmbH, Leonberg
  3. Bundeskriminalamt, Wiesbaden
  4. Landesbetrieb IT.Niedersachsen, Braunschweig


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. 59,90€

Folgen Sie uns
       


  1. FTTC

    Weitere 358.000 Haushalte bekommen Vectoring der Telekom

  2. Win 2

    GPD stellt neuen Windows-10-Handheld vor

  3. Smartphone

    Kreditkartenbetrug bei Oneplus-Kunden

  4. Verwaltung

    Barcelona plant Wechsel auf Open-Source-Software

  5. Elektroauto

    Norwegische Model-S-Fahrer klagen gegen Tesla

  6. Streaming

    Gronkh hat eine Rundfunklizenz

  7. Nachbarschaftsnetzwerke

    Nebenan statt mittendrin

  8. Festplatten

    WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

  9. Displaytechnik

    Samsung soll faltbares Smartphone auf CES gezeigt haben

  10. Elektromobilität

    Elektroschiffe sollen Container transportieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  2. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps
  3. eID Willkommen in der eGovernment-Hölle

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Re: Gut so

    AllDayPiano | 08:14

  2. Re: Microsoft zieht nicht nach Barcelona

    gadthrawn | 08:12

  3. Re: Warum verteidigen viele hier solche...

    Eheran | 08:08

  4. Re: fantastisches Gerät für Steam unterwegs

    drdoolittle | 08:02

  5. Klarer Mangel

    VigarLunaris | 07:56


  1. 18:28

  2. 17:50

  3. 16:57

  4. 16:19

  5. 13:04

  6. 12:22

  7. 12:00

  8. 11:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel