[WICHTIG] Information über eine kritische Sicherheitslücke in OXID eShop (alle Versionen)

marco.steinhaeuser · June 13, 2016, 6:15am

Hallo zusammen,

unser Entwicklungsteam hat eine kritische Sicherheitslücke für alle Versionen und Editionen des OXID eShop entdeckt. Bitte lest diesen Blogpost aufmerksam und handelt sofort (falls noch nicht geschehen):

Das ist keine Feuerübung und auch kein Fake, die Situation ist ernst. Wir erwarten die ersten Angriffe nur Stunden nach der Veröffentlichung des Fixes später am heutigen Tag.

Bitte führt die vorgeschlagenen Workarounds sofort durch. Wir können Fragen dazu später heute (nach der Veröffentlichung des Fixes) in diesem Thread besprechen.

Danke für’s Verständnis!

Tintenmann · June 13, 2016, 6:22pm

Hallo,

grundsätzlich einmal toll, das die Kunden bzw. Anwender frühzeitig über das Problem informiert wurden. Auch die Anleitung zur Änderung des Shop - Admin: 1a! Gute Schritt-für-Schritt Anleitung, einfach umzusetzen!
Leider nicht so für die Absicherung des Admin - Bereiches. Leider sind nicht alle Shop - User die Top-Admins, so habe ich nicht wirklich eine Ahnung, was zu tun ist. So habe ich im Shop eigentlich 2 Admin - Bereiche. Einmal direkt im Hauptverzeichnis des Shops und einmal unterhalb /out/ - Verzeichnisses. Weiterhin habe ich ehrlich gesagt keine Ahnung was in die .htaccess - Datei rein muss. Eine Anleitung - ähnlich der zum Ändern des Shop - Admins - wäre sehr hilfreich.

Kann da jemand helfen?

Gruß Tintenmann

vanilla_thunder · June 13, 2016, 6:34pm

ich sehe da zwei links, wo du nur drauf klicken und die Datei runterladen musst, bzw den Code kopieren. Dazu muss man eigentlich kein top admin sein.
Und es ist der “admin/” Ordner gemeint, wie es dort steht, nicht “out/admin/”, sonst würde dort auch “out/admin/” stehen

Wenn du uns sagst, woran genau es bei dir scheitert, können wir dir weiter helfen.
Hast du es mit dem Webhoster Interface versucht? Scheitert es an Datei runterladen? Hochladen? Passwort in der htpasswd Datei erstellen? Klappt die Anmeldung nicht?

Tintenmann · June 13, 2016, 7:11pm

Webhoster Interface geht nicht, bietet DF nicht an

.htaccess und .htpasswd erstellen und hochladen ist kein Problem, beim Aufruf der Adminseite kommt die Abfrage, danach leider nur noch ein Fehler 500. Als Ablageort der .htpasswd habe ich ein Unterverzeichnis der Admin - Verzeichnisses gewählt und auch so in der .htaccess angegeben. Zur Erstellung der beiden Dateien habe ich http://www.htaccesstools.com/articles/password-protection/
verwendet.

Gruß

marco.steinhaeuser · June 13, 2016, 7:29pm

Wenn ein 500 kommt, läuft irgendwas schief. Frag am besten mal bei DF nach, wie ein solcher Verzeichnisschutz dort erreicht werden kann.

Gruß

nickname · June 13, 2016, 7:58pm

Hi,
wenn der 500 nach der eigentlichen Abfrage kommt, ist möglicherweise nur der Pfad falsch. Vergleiche einfach mal in der config.inc.php unter §shopdir, dort steht der Pfad zum Shop.

Tintenmann · June 13, 2016, 8:03pm

So ist es! Der Pfad war es! Danke hier für die richtigen Denkansätze!

Gruß

Tintenmann · June 13, 2016, 8:45pm

Nachtrag: Ist es tatsächlich so, das man sich nun für den Zugriff auf den Admin - Bereich 2 * authentifizieren muss? Einmal über die jetzt neu eingerichtete Abfrage und dann direkt ein 2. Mal mit den Zugangsdaten des Admin?
Das ist ja schon ziemlich nervig - aber wenn’s der Sicherheit dient …

Gruß

MeisterYoda · June 13, 2016, 11:11pm

[QUOTE=Marco Steinhaeuser;180535]
Bitte führt die vorgeschlagenen Workarounds sofort durch. Wir können Fragen dazu später heute (nach der Veröffentlichung des Fixes) in diesem Thread besprechen.
[/QUOTE]

d.h. wenn man den fix eingespielt hat braucht man den sofort-workaround nicht mehr? Oder steh ich auf der Leitung?

fireincairo · June 13, 2016, 11:42pm

Gerade updated, danke OXID team!

Noch eine Beobachtung: Nach dem Update muss man den SMTP Server für SSL-Versand angeben in Shop Einstellung, sonst kriegt Admin Emails wegen Email Problem “cannot connect to SMTP server”. Komischerweise kommen die Emails trotzdem an, sowohl bei Admin als auch bei Kunden. Nur steht da eine Hinweise “xxx did not encrypt this message” z.B. bei gmail.

Sonst scheint noch alles zu funktionieren. Hoffe es bleibt auch so.

Gruss, Lin

fireincairo · June 13, 2016, 11:47pm

[QUOTE=MeisterYoda;180552]d.h. wenn man den fix eingespielt hat braucht man den sofort-workaround nicht mehr? Oder steh ich auf der Leitung?[/QUOTE]

hmmm, jetzt bin ich auch nicht mehr sicher, dachte ein Upgrade ist ausreichend. Vielleicht gibt OXID Team eine Aussage dazu? Vom Lesen her scheint noch beides seien nötig…

marco.steinhaeuser · June 13, 2016, 11:56pm

Hallo,

die Workarounds sind halt Workarounds: Wie in den FAQ beschrieben, ist man damit nicht mehr unmittelbar angreifbar, Gefahr ist dennoch in Verzug. Also besser die Patches mit dem letzten Update installieren!

Die Patches (4.9.9 und 5.2.9) machen zwar die aktuelle Sicherheitslücke dicht, jedoch würde ich die Workarounds nicht wieder raus operieren - sicher ist sicher.

Und selbst wenn man sich zwei Mal anmelden muss… jo mei…

Gruß

kiwi · June 14, 2016, 12:26am

Ich komme mit Punkt 3 nicht klar.


SecRuleEngine On
SecRequestBodyAccess On
SecArgumentSeparator &
SecCookieFormat 0

SecRule REQUEST_URI "@beginsWith / admin!" "Id: '9000000', leugnen, msg:" OXID Hack ', t: urldecode, t: Klein, t: normalizePath, Kette "
SecRule REQUEST_BODY "@rx oxuser__oxid" "t: urldecode, t: Klein"

SecRule REQUEST_URI "@beginsWith / admin!" "Id: '9000001', leugnen, msg:" OXID Hack ', t: urldecode, t: Klein, t: normalizePath, Kette "
SecRule QUERY_STRING "@rx oxuser__oxid" "t: urldecode, t: Klein"

In welche Datei muss das, auch in die .htaccess die im Admin Ordner erstellt werden musst?

Ich finde auch keinen Link zum Download für den Fix, ich habe Shopversion 4.8.4?

Grüße und mit der bitte um Aufklärung

marco.steinhaeuser · June 14, 2016, 1:01am

Hallo @kiwi,

der Workaround #3 ist für Hosting-Privider bzw für Leute mit einer Root-Büchse.

Dein Fix für 4.8.4 heißt 4.8.12. Das kumulative Update-Paket dafür steht definitiv bereit.

Gruß

cpoll · June 14, 2016, 3:00pm

Hallo Leude,

bei mir läuft CE 4.8.9. Da ich sehr viele Templates bearbeitet habe, möchte ich ungern den gesamten Shop updaten und alle Templates neu anpassen. Gibts nicht die Möglichkeit, nur die sicherheitsrelevanten Dateien zu aktualisieren? oder muss der komplette Shop upgedated werden?

Der dritte Workaround ist mir noch unklar. ich habe per FTP Zugriff auf die Rootebene, weiss aber nicht so recht, was ich mit dem Code anfangen soll, bzw. wo der hingehört.

Bitte um Feedback,

LG

MeisterYoda · June 14, 2016, 4:13pm

schau doch einfach in das kumulative update-pack rein. Ich hab von 4.8.7 auf 4.8.12 upgedatet und da waren gerade mal 3 Templates betroffen. Also keine große Sache.

cpoll · June 14, 2016, 5:12pm

Alles klor, dann werd ich mir das mal runterladen, gell;-)

LG

kiwi · June 15, 2016, 1:16am

Wie schätzt Ihr die Sicherheit ein, wenn nur Absatz 1 + 2 eingerichtet ist (relativ sicher, sicher, unsicher)?

…ich wollte eigentlich bevor das neue responisive Template erscheint nicht updaten müssen.

Grüße,

JoergBS · June 15, 2016, 12:21pm

Huhu,

kann es sein, dass die Cumulative Updates derzeit gestört sind? wollte mir das Update von 4.9.8 auf 4.9.9. holen und kriege ne Fehlermeldung.

Habs auch mal mit anderen Versionen versucht, selbe Meldung.

sea_kayaker · June 15, 2016, 8:08pm

…updates gehen nicht …kein Download möglich ?

FEHLER:
Something went wrong. Please contact OXID support and tell them which package you need.

Irgend welche Infos ?

gruss und danke