Neueste Nachrichten (in Englisch): (am laden..)

Archiviert

Dieses Theme ist nun archiviert und für weitere Antworten gesperrt.

Stefan Kanitz

Kritisches Sicherheitsproblem im Adminbereich

127 Beiträge in diesem Thema

Hi

es ist ein Sicherheitsproblem in der Version v2.2 RC 1/2 bekannt geworden. Dieses Problem ist abhängig von der Serverkonfiguration und tritt nicht bei jedem Shop auf. Dennoch wird empfohlen, dass alle folgendes machen:

1. als erste (kleine) Schutznahme sollte das admin-Verzeichnis umbenannt werden

2. anstelle dessen oder zusätzlich sollte der Adminbereich per .htaccess-Datei kennwortgeschützt werden

Es ist sinnvoll, wenn die Serverlog-Dateien der letzten Wochen aufbewahrt werden. Dann kann später ermittelt werden, ob jemand Zugriff auf die Shopdaten hatte.

Es gibt demnächst weitere Informationen zu diesem Problem.

Nachtrag: Es sind offenbar auch Shops mit Zugangsschutz-Addons betroffen. Wer bereits einen .htaccess-Kennwortschutz hat, dürfte kein Problem haben. Alle anderen sollten zügig handeln.

Gruß

Stefan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vieleicht noch zur Info (wenn ich hier schreiben darf :D)

Die Änderung des Adminverzeichnisses bedeutet natürlich auch die Admin configure.php zu ändern. Auch dort müssen die Änderungen eingetragen werden.

Übrigens sollte dieser Tipp eigentlich ein grundsätzlicher sein. D.h. nach Installation von OSC wird das Adminverzeichnis umbenannt. (Ich kenne es nur so, ansonsten weiss hier ja jeder wie er auf meinen Adminbereich zugreifen kann)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
...wenn ich hier ...
Du darfst, wenn es sein muss.

Gepinnte Beiträe sind gepinnt, weil idR. der öffnende Beitrag besonders wichtig ist.

Entscheidend ist hier, die Sicherheitslücke muss als "kritisch" eingestuft werden und es sollte schnellstens gehandelt werden.

Das Umbenennen ist in 3 Sekunden getan. Anschliessend sollte der Schutz durch htaccess/htpasswd eingerichtet werden.

Ursache ist hier möglicherweise ein Bug in PHP, der auch in anderen Anwendungen zu ungeahnten Resultaten führen kann. osCommerce ist deshalb besonders betroffen, weil es weit verbreitet ist.

Um die Möglichkeiten, osCommerce-Shops zu schaden nicht unnötig weiter zu verbreiten, hat sich das Team entschlossen, keine Informationen, außer den oben genannten zu veröffentlichen.

Durch die Einrichtung des genannten Zugangschutzes, wird die Lücke wirksam geschlossen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nochmal, die Meldung tangiert mich nur ein wenig, aber wie ist es für den "normalen" User.

Ihr schreibt die htaccess und die htpasswd muss eingerichtet werden /angepasst werden. Aber wo ???.

Hmm, wenn es um das einfügen eines Contribs geht, geht ihr von einen DAU aus, bei einen Sicherheitsproblem werden diese Dau´s plötzlich zu erfahrenen Usern.

Es wäre also sinnvoll. die nötigen Änderungen auch für jeden Laien zu posten, eben genau weil OSC die Grundlage für 70% aller Onlineshops ist.

Panikmeldung gut, Panikmeldung plus informationen sind besser,

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin Moin

> Panikmeldung plus informationen sind besser

Stimmt sicherlich. Wobei man ja hier fragen kann bzw mit Google oder der Forensuche schnell die gewünschten Infos erhält.

1. Nach der Umbennung des Adminverzeichnis auf dem Webspace diese Datei anpassen

admin/includes/configure.php

define('DIR_WS_ADMIN', '/adminneuername/');

define('DIR_FS_ADMIN', '/eurer/pfad/zum/verzeichnis/adminneuername/');

2. Der Kennwortschutz ist abhängig vom Webhoster. In der Regel kann man einen Kennwortschutz im Konfigurationsbereich des Hosters anlegen. Ansonsten manuell wie hier beschrieben

http://de.selfhtml.org/servercgi/server/ht...rzeichnisschutz

Der nachfolgend abgebildete Zugangsschutz ist kein sicherer .htaccess-Kennwortschutz, sondern der derzeit umgehbare "Administrator Login" von osCommerce.

administrator_login.png

Gruß

Stefan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
im .com-Forum gibt es dazu auch Informationen

http://forums.oscommerce.com/index.php?showtopic=340995

Ich schreibe hier mal weiter, weil die meisten ISP´s behaupten das Problem gibt es nicht (nach meinen Wissen aktuell 3 verschiedene grosse Provider)

1und1 und Domainfactory haben meinen Anruf sehr ernst genommen....

Meine Shops sind abgesichert, aber ich kann nur jeden anderen User hier bitten seinen Adminzugang wirklich abzusichern.

Je nach Anbieter ändert sich das Verfahren.

Es reicht nicht das Adminverzeichnis zu ändern, das ist wirklich zu leicht zu erkunden.

Erstmal reicht es sein Account doppelt abzusichern, aber nicht wie auf der englischen Seite verfahren, wie man die Anmeldung wieder anpassen kann, damit man sich trotzdem wieder nur einmal anmelden muss.

Ich würde 2 Anmeldenamen und auch 2 verschiedene Passwörter wählen und ganz superwichtig, Passwörter sollten zumindest ein Sonderzeichen enthalten.

Ohne liegt die Rechenzeit bei 2-3 Minuten, mit bei 2-3 Stunden / Tage.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi

weil die meisten ISP´s behaupten das Problem gibt es nicht

Bei der Mehrheit der überprüften Shops konnte man die Kundendaten, Bestelldaten etc einsehen, ohne dass das Kennwort des osCommerce-Adminbereichs bekannt sein muss. Darunter sind auch Shops, die bei 1und1 und Domainfactory liegen.

Zugriffsversuche zur Umgehung es Kennwortschutzes bei fremden Shops sind (meines Wissens) strafbar und bei dieser Lücke in den Serverlogs nachvollziehbar. Ich vermute, die Lücke wird irgendwann öffentlich bekannt werden, so dass man die eigenen Serverlogs nach unerlaubten Zugriffen absuchen kann.

Gruß

Stefan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
... aber nicht wie auf der englischen Seite verfahren, wie man die Anmeldung wieder anpassen kann, damit man sich trotzdem wieder nur einmal anmelden muss.

Was spricht denn dagegen? Ich glaube nicht, dass Harald einen Code veröffentlicht, der eine neue Sicherheitslücke aufreißt...

Gruß Tommy

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Was spricht denn dagegen? Ich glaube nicht, dass Harald einen Code veröffentlicht, der eine neue Sicherheitslücke aufreißt...

Gruß Tommy

Habe ich auch nicht behauptet, aber ich würde trotzdem die doppelte Anmeldung mit zwei verschiedenen Passwörtern bevorzugen. Mache ich schon ewig, weil ja jeder hier bei einer Standardinstallation schon eine Menge über meinen Adminzugang weiss. Ist auch bei anderen Open Source Anwendungen so.

Statte ich diesen Zugang nur mit einen schlechten Passwort aus, dann muss ich mich nicht wundern wenn andere Leute darauf zugreifen.

Ich wette, trotz dieser Sicherheitslücke, sind noch 70% der Shops über den normalen Adminzugang erreichbar. Und 20 % davon sind von jeden knackbar, weil das Passwort in Reinschrift irgendwo auf der Internetseite steht.

Für mich ist die grösste Sicherheitslücke der Anwender, der seinen Shop online stellt :lol:

Übrigens haben diese Anwender natürlich in Ihrer Datenschutzerklärung stehen, das die Daten Ihrer Kunden sicher sind und posten hier im Forum Ihre gesamte configure.php :)

Also google.de bringt es auf 388.000 Einträge zum Thema configure.php oscommerce :D

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Bei der Mehrheit der überprüften Shops konnte man die Kundendaten, Bestelldaten etc einsehen, ohne dass das Kennwort des osCommerce-Adminbereichs bekannt sein muss. Darunter sind auch Shops, die bei 1und1 und Domainfactory liegen.

Hast du die Shopbetreiber dauf hingewiesen? oder zumindestens die Forum Shoppler? Wäre ja wichtig für uns wenn hier was bei einem im argen liegt. Meiner ist;glaub ich nciht betroffen

Gruß

Alfred

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi

Hast du die Shopbetreiber dauf hingewiesen?

Selbstverständlich habe ich nur Shops getestet, mit denen ich etwas zu tun habe. Die Shopbetreiber habe ich darauf hingewiesen. Mir nicht bekannte Shops teste ich nicht. Aber das Problem betrifft (vermutlich) die Mehrzahl der Shops. Einfach ein .htaccess-Schutz davor.

Die Lücke hat übrigens meines Wissens ein osCommerce-Mitglied des .com-Teams entdeckt.

Gruß

Stefan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Hast du die Shopbetreiber dauf hingewiesen? oder zumindestens die Forum Shoppler? Wäre ja wichtig für uns wenn hier was bei einem im argen liegt. Meiner ist;glaub ich nciht betroffen

Gruß

Alfred

Deswegen halte ich diesen Thread möglichst am Leben :D

Vielleicht sollte das Forum Newsletter anbieten, oder aber ein Forum extra für Sicherheitsprobleme (Newsletter währen effektiver)

Der Stefan kann nicht mehr tun als es hier zu veröffentlichen, lesen müssen die Leute selbst :D

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also ich habe mir soeben auch ein .htaccess schutz vor den Adminzugang gehauen. Nun muss man sich zwar 2 mal mit verschiedenen Benutzernamen und Passwörtern einloggen, aber so kann ich ruhiger schlafen. :D

Sicher ist Sicher.

THX für die Info

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Ich schreibe hier mal weiter, weil die meisten ISP´s behaupten das Problem gibt es nicht (nach meinen Wissen aktuell 3 verschiedene grosse Provider)

1und1 und Domainfactory haben meinen Anruf sehr ernst genommen....

Wenn die Provider mehr wissen wollen, dürfen sie mich gerne anschreiben.

Es betrifft ja nicht alle Serverkonfigurationen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich bin ja bei net-housting, und da habe ich Paralell Confix dazu, dort kann ich meine Ordner auch schutzen lassen. Ist das dann das gleiche wie ihr meint? Oder können dann meine Kunden nicht mehr ohne PY auf meinen Shop zu greifen ?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@CrazyG

Es geht nur um den Adminzugang nicht um den Shop

@Henri

Der Mitarbeiter von DF war sehr interessiert, er hat alles inklusive den Link zu diesen Forum aufgenommen, habe also nicht das Gefühl gehabt, ich werde dort abgetan, der Mitarbeiter hat es wirklich sehr ernst genommen. Sie bieten ja selbst die MS-Version an.

1und1, na ja, der Mitarbeiter war wohl sehr interessiert, aber er hat sich keine Notzen gemacht, oder er konnte Steno ;) Da hatte ich das Gefühl 1und1 ist einfach erhaben über solche Probleme, obwohl Sie auch die MS-Version anbieten.

Der dritte Provider, ein mittlerer, bitte fragt mich jetzt nicht genau welcher es ist (müsste jetzt nachschauen) war erstaunlich gut abgesichert. Er installiert selbst die Mr Version nur mit Passwordschutz, aber das erwarte ich dann auch, wenn ich monatlich 15 Euro dafür bezahle ;)

Ich kann keine Kontaktdaten nennen. Ich habe einfach nur rumtelefoniert um meine Shops und betreuten Shops zu sichern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo zusammen,

ich habe mich hier Angemeldet weil ich auch zweifel an der Sicherheit habe.

@Katerrobin Danke schonmal für die Hilfe.

Denke konnte mich nach dem umbenennen des Admin Bereichs nicht mehr einloggen weil schon eine htacces Datei eingerichtet ist.

Dann schreibst Du in admin/includes und im /includes Ordner müssen die configure.php Dateien angepasst werden.

Im includes Ordner in der configure.php finde ich aber nichts über den Admin Pfad :-) Nur im admin/includes/configure.php

Dabei ist mir aber nochwas aufgefallen, in beiden configure.php steht ja mein komplettes Passwort von der sql Datenbank.

Vor allem mache ich mir hier um die configure.php im includes Ordner, weil der ist nämlich gar nicht geschützt ?

Ist es möglich den Ordner auch zu schützen ? Oder funktioniert dann einiges nicht mehr, bzw wird dann ständig ein Passwort abgefragt wenn man im Shop unterwegst ist, weil irgendwas damit verknüft ist?

Ich habe noch einige andere Fragen, aber erst mal geht Sicherheit vor :-)

Danke Euch allen für Eure Hilfe.

Gruß Patrick

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Hallo zusammen,

ich habe mich hier Angemeldet weil ich auch zweifel an der Sicherheit habe.

@Katerrobin Danke schonmal für die Hilfe.

Denke konnte mich nach dem umbenennen des Admin Bereichs nicht mehr einloggen weil schon eine htacces Datei eingerichtet ist.

Dann schreibst Du in admin/includes und im /includes Ordner müssen die configure.php Dateien angepasst werden.

Im includes Ordner in der configure.php finde ich aber nichts über den Admin Pfad :-) Nur im admin/includes/configure.php

Dabei ist mir aber nochwas aufgefallen, in beiden configure.php steht ja mein komplettes Passwort von der sql Datenbank.

Vor allem mache ich mir hier um die configure.php im includes Ordner, weil der ist nämlich gar nicht geschützt ?

Ist es möglich den Ordner auch zu schützen ? Oder funktioniert dann einiges nicht mehr, bzw wird dann ständig ein Passwort abgefragt wenn man im Shop unterwegst ist, weil irgendwas damit verknüft ist?

Ich habe noch einige andere Fragen, aber erst mal geht Sicherheit vor :-)

Danke Euch allen für Eure Hilfe.

Gruß Patrick

Die Datei configure.php wird aber bei OSC gleich bei der Installation angemeckert, wenn diese die falschen Rechte hat.

Stimmt der Admineintrag ist nur in der admin/indcludes. Sorry hatte ich verwechselt. :D

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also brauche ich mir um die configure.php im includes Ordner keine Sorgen machen ?

Nur den Adminordner also schützen ?

Sorry, hatte irgendwann mal eine normale Homepage in Html, PHP ist absolutes Neuland für mich.

Ich schaffe es auch nicht meine AGBs ordentlich einzubinden. Habs mit Word erstellt und auch mal als Html abgespeichert.

Wenn ich es so von Word rüberkopiere haut er mir die ganze Formatierung raus und rückt alles zu einem Textblock zusammen.

Wenn ich es als Html einfüge kommt nur ein wirwar bei rum :-)

Muß man jetzt PHP lernen um das hinzukriegen ? :D

Gruß Patrick

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Muß man jetzt PHP lernen um das hinzukriegen ? :D

Nunja, es ist von Vorteil, wenn man sich einige Grundkenntnisse aneignet. Bei deinem Problem mit den AGB allerdings, brauchst du doch nur den entsprechenden Variableninhalt in der dazugehörigen Sprachdatei zu ändern. Also nix mit html oder php :)

Gruß Viper

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Also nix mit html oder php :D

Nunja: Die Formatierung in den Sprachdateien brauchen schon html. Aber wenn schon in Word abgespeichert wird, alles rausschmeißen, was vor dem ersten und hinter dem letzten "table" steht...

Gruß Tommy

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Nunja: Die Formatierung in den Sprachdateien brauchen schon html. Aber wenn schon in Word abgespeichert wird, alles rausschmeißen, was vor dem ersten und hinter dem letzten "table" steht...

Gruß Tommy

Weisst du eigentlich was für html-Monster Word erstellt ??? :lol:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Weisst du eigentlich was für html-Monster Word erstellt ??? :lol:

Könnt Ihr bitte die Alltagsprobleme in separaten Threads diskutieren? Danke.

Christian

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Weisst du eigentlich was für html-Monster Word erstellt ??? :lol:

Eben, das sehe ich auch so. Ok kommt ganz darauf an, wie die AGB aussehen sollen, aber die nötigsten html Befehle, bekommt ja nun doch jeder Laie hin.

Zur Not nimmt man eben selfhtml zur Hilfe.

Um ganz wilde Formatierungen kann man sich ausserdem immernoch später kümmern.

Gruß Viper

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen