Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

[maestro]

Hallo,

ich habe gerade eine E-Mail bekommen mit dem Betreff "WICHTIG: Sicherheitslücke in JTL- Shop 4 - Dringender Handlungsbedarf",

Liebe Kunden,

uns wurde heute eine kritische Sicherheitslücke gemeldet, die JTL-Shop 4 bis einschließlich Version 4.06.17 betrifft. Es besteht Ihrerseits dringender Handlungsbedarf, um diese Sicherheitslücke für Ihren JTL-Shop zu schließen. Nach unseren jetzigen Informationen ist bisher kein Schaden in Form von Datendiebstahl entstanden, jedoch sollten Sie das Problem umgehend beheben, um dies zu verhindern.

Im Folgenden finden Sie dazu eine entsprechende Anleitung.

Hosting-Kunden bei JTL mit JTL-Shop 4 haben wir bereits automatisch mit einem Sicherheits-Patch versorgt. JTL-Shop 5 ist nicht betroffen.

*Entfernt durch Moderation.

Wenn Sie eine ältere Version von JTL-Shop nutzen, ändern Sie bitte folgende Code-Zeilen manuell in der Datei classes/class.JTL-Shop.Redirect.php:

$oEntry = Shop:B()->query(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = '{$cIP}'
AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1
);

Ersetzen durch:

$oEntry = Shop:B()->queryPrepared(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = :cIP
AND t.cFromUrl = :cURL LIMIT 1",
[
'cIP' => $cIP,
'cURL' => $cUrl
], 1
);

Soweit sieht alles plausibel aus - nur wundert mich:
1) im Forum habe ich davon nichts finden können. Auch nicht auf der JTL-Seite. Oder habe ich etwas übersehen?
2) Die Links zum Download des Patches/neuen Files findet sich unter diesem Link: https://jtl-software.us9.list-manage.com/track/click?u=xxxxx&id=xxxxx&e=xxxxx - d.h. gehen nicht direkt auf die jtl-Seite, sondern via list-amange.com - Newsletter-Tool. In dem Fall aber unglücklick, d.h. das verunsichert mich in Kombination mit 1).

Ist die E-Mail korrekt? Oder ein ziemlich genialer Versuch in den Shop einzudringen?

Und warum ist in der E-Mail kein Link auf die JTL-Seite, um schlichtweg das ganze unabhängig validieren zu können?

 

[NETZdinge.de]

Ja, die Mail ist echt! Klar, veröffentlicht man das nicht überall, soll ja keine Einladung sein…

 

[Freund_des_Hauses]

Einen Hinweis im Kundencenter nach dem Login hätte ich schon erwartet.
Ein Download aus dem Kundencenter schafft auch mehr Vertrauen.

 

[NETZdinge.de]

Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…

 

[John]

Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.

 

[Freund_des_Hauses]

Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren

 

[maestro]

Ja, die Mail ist echt! Klar, veröffentlicht man das nicht überall, soll ja keine Einladung sein…

Einerseits schon klar, andererseits wäre ein ganz ganz kurze Meldung - in Richtung "Bitte beachten Sie die E-Mail ... Shop 4 ..." usw. Es muss ja online nichts konkretes zum Lücke beschrieben werden.

Einen Hinweis im Kundencenter nach dem Login hätte ich schon erwartet.
Ein Download aus dem Kundencenter schafft auch mehr Vertrauen.

Ja, genau um DAS geht es mir. Einfach ein kleiner Hinweis und wie du schriebst, aus ner sicheren Quelle.

Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…

Natürlich ist es sinnvoll, ersteinmal die Lücke zu schließen und die Mail rauszuballern. Allerdings: Welchen nennenswerten zeitlichen Mehraufwand hätte ein kurzes Posting im Forum bedeutet? Ich denke das wäre kaum erwähnenswert. Es muss ja nicht auf deren Webseite direkt erklärt werden, nur der Hinweis zur Validierung. Fertig.

Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.

Ja, genau um das gings mir. Dieser doofe Newslettertracking-Link. Danke dir auch für die Info und Überprüfung.

Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren

Genau das dachte ich mir auch.

Sicherlich, man wird mittlerweile wirklich paranoid. Anderseits wird das Gegenüber immer pfiffiger. Ich konnte mir das in dem Falle echt nicht vorstellen, es passt ja alles - andererseits sind eben schon paar red-flags dabei - die man im kleinen 1x1 eben lernt, nicht zu tun...

call-to-action, der fragwürdige Link - ganz klar. Ich hatte daraufhin im Forum gesucht, auf der Seite, ob das irgendwo nur ein wenig erwähnt wird. Als ich dann nichts fand eben dieses Posting.

DANKE euch allen!

 

[xuadrob]

same here, danke für die Infos - mir war die Download-Quelle (Nicht direkt JTL) ebenfalls SUSPEKT

 

[SebiW]

Ach, was würde ich mir wünschen, dass meine Herrschaften im Kundensupport auch nur annähernd so paranoid wären wie Ihr...
Wir setzen zwar keinen JTL Shop ein, die gegenseitige Hilfestellung im Forum zu dem Problem war aber mal wieder vorbildlich. JTL hat echt eine tolle Community!

 

[niro]

Moin,
bei mir hatten jemand wohl gestern Morgen versucht die mySQL Datenbank zu manipulieren, dabei ist der Shop abgestürzt. Der Support hat mir folgende Ursache mitgeteilt:

Hierbei hat sich ein MySQL Prozess aufgehangen, ich habe diesen Prozess einmal beendet und die Webseite funktioniert nun wieder.
Dies war der Prozess:
SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '45.130.147.110' AND t.cFromUrl = '/navi.php/includes/test:test'/**/or/**/sleep(3)/**/and/**/'1' LIMIT 1

Habe natürlich gestern nachdem die Meldung von JTL kam sofort den Code geändert (Shop 4.06.13).

Gruß
niro

 

[Enrico W.]

Liebe Kunden,

wir entschuldigen uns für die Verwirrung, den der gestrige Newsletter bzw. die darin enthaltenen Links bei einigen von Ihnen ausgelöst haben. Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.

Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Wir wünschen Ihnen viel Erfolg und ein schönes Wochenende!

 

[LaLumex]

Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.

 

[sah]

Besten Dank!

Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...

MfG
Stefan

 

[sebjo82]

Forum lurken zahlt sich mal wieder aus. Wir haben auch noch nichts erhalten, ich hab die Lücke aber schon geschlossen 👍

 

[aaha]

Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...

Ich habe jetzt zwar den Code entsprechend Anleitung umgeschrieben, aber letztlich hab ich keinen blassen Schimmer, was das alles wo bewirkt. Somit hab ich auch keine Idee, wie dies nun konkret getestet werden könnte. Wäre nett, wenn da jemand eine Idee (Anleitung) zu hätte.

Außerdem schreibt JTL in dem "Newsletter"

In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster:
----
Dabei handelt es sich offenbar um eine Prüfung, ob der Shop verwundbar ist.
[...]

Sollten Sie weitere Angriffsmuster in Ihrem Access-Log identifizieren, ist der Vorfall unter Umständen als sicherheitskritisch und datenschutzrelevant einzustufen.

Kann mir bitte jemand einen Tipp geben, wo ich dieses Access- Log finde? Ich würde die Kontrolle gern durchführen.

 

[jaquesbubu]

Hallo,
wie sieht es mit dem Anfragemuster im Access--Logs aus?

In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster

Die Grafik im newsletter ist ja erst nach zigacher Vergrößerung zu erkennen.

*** Administrativ entfernt ***

Sowas steht bei uns auch im Access. log
Also, was tun?

:

 

[Diane B.]

Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.

Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane

 

[FPrüfer]

Kann mir bitte jemand einen Tipp geben, wo ich dieses Access-Log finde? Ich würde die Kontrolle gern durchführen.

Das Acces- Log kannst du i.a.R über dein Hosting einsehen. Bitte hier ggfs. deinen Hoster mit Verweis auf die Dringlichkeit wg. einer Sicherheitslücke um Hilfe.

 

[301Moved]

Die Grafik im newsletter ist ja erst nach zigacher Vergrößerung zu erkennen.

Das fand ich auch etwas problematisch, ehrlicherweise...

insert oder delete sind ja schon andere Muster als sleep. Vll prüfen, ob die noch anderweitig auftauchen

 

[aaha]

Sowas steht bei uns auch im Access. log

Wo ist dieses Access- Log?

Das Acces- Log kannst du i.a.R über dein Hosting einsehen.

Wo genau?

Bitte hier ggfs. deinen Hoster mit Verweis auf die Dringlichkeit wg. einer Sicherheitslücke um Hilfe.

Ggf. werde ich dies dann auch tun. Lieber wäre mir im Moment allerdings eine schnelle Antwort hier.