Abo
  • Services:
Anzeige
Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Kritische Sicherheitslücke: Angreifer können Adminrechte in Oxid-E-Shop erlangen

Wer das Oxid-System einsetzt, sollte schnell patchen.
Wer das Oxid-System einsetzt, sollte schnell patchen. (Bild: Oxid Esales)

Eine Sicherheitslücke im E-Shop-System Oxid ermöglicht Angreifern den Zugriff auf das Admininterface, es kann auch Code ins Frontend injiziert werden. Aktuelle Versionen werden mit einem Patch abgesichert, für ältere existiert lediglich ein Workaround.

Der deutsche Softwarehersteller Oxid Esales hat eine kritische Sicherheitslücke in dem Produkt Oxid-E-Shop geschlossen. Angreifer konnten mithilfe manipulierter HTTP-Get- und HTTP-Post-Requests Zugriff auf das Admininterface erlangen. Mittlerweile gibt es einen Patch, außerdem lässt sich das Problem auch mit einem Workaround beheben.

Anzeige

Die Sicherheitslücke wurde von dem Unternehmen selbst entdeckt, in mehreren Code-Audits soll sie zuvor unentdeckt geblieben sein. Betroffen sind alle Oxid-E-Shop-Produkte in der Enterprise-, Professional- und Community-Edition. Für die Sicherheitslücke wurde die CVE-2016-5072 vergeben.

Angreifer können sich in ungepatchten Systemen über das Frontend der Webseite Zugriff auf das Admininterface verschaffen und damit auf Kundendaten und die Datenbank zugreifen. Außerdem sollen Angreifer in der Lage sein, PHP-Code auszuführen oder anderen Code in das Frontend einzuschleusen.

Ältere Versionen mit Workaround absichern

Die aktuellen Versionen werden mit einem Update versorgt, das umgehend installiert werden sollte. Ältere Versionen hingegen lassen sich nur mit einem Workaround absichern.

Dazu sollte zunächst der Admin-Ordner über die htcaccess-Datei abgesichert werden. Oxid stellt dafür eine Anleitung bereit. Außerdem sollte der standardmäßig angelegte Adminnutzer ersetzt werden. Dazu muss im Admininterface zunächst ein neuer Nutzer mit entsprechenden Rechten angelegt werden. Nach einem erneuten Login mit dem neuen Benutzernamen muss an die URL der Zusatz "&cl=user_list&fnc=deleteentry&oxid=oxdefaultadmin" angehängt und mit Enter aufgerufen werden. Nach einem erneuten Login sollte überprüft werden, ob der ursprüngliche Admin-Nutzer tatsächlich entfernt wurde.

Außerdem kann die Anwendung mithilfe einer Webapplication-Firewall gegen einen Angriff abgesichert werden. Dazu hat Syseleven eine Implementation für Modsecurity entwickelt.

Disclaimer: Syseleven ist der Hoster von Golem.de.


eye home zur Startseite
hg (Golem.de) 14. Jun 2016

Danke für den Hinweis, habe ich korrigiert.



Anzeige

Stellenmarkt
  1. IT Services mpsna GmbH, Herten
  2. LogPay Financial Services GmbH, Eschborn
  3. MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin
  4. Landeshauptstadt München, München


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. 6,99€

Folgen Sie uns
       


  1. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  2. Fahrdienst

    London stoppt Uber, Protest wächst

  3. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  4. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  5. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  6. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  7. Die Woche im Video

    Schwachstellen, wohin man schaut

  8. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  9. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  10. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Was hat das mit "Die PARTEI" zui tun?

    Zeroslammer | 10:43

  2. Re: Und bei DSL?

    sneaker | 10:42

  3. Re: Der starke Kleber

    ArcherV | 10:36

  4. Re: und die anderen 9?

    ArcherV | 10:34

  5. Re: 197 MBit/s über vodafone.de Speedtest - 30...

    DerDy | 10:24


  1. 10:56

  2. 15:37

  3. 15:08

  4. 14:28

  5. 13:28

  6. 11:03

  7. 09:03

  8. 17:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel