Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

maestro

Aktives Mitglied
28. August 2014
15
7
Hallo,

ich habe gerade eine E-Mail bekommen mit dem Betreff "WICHTIG: Sicherheitslücke in JTL- Shop 4 - Dringender Handlungsbedarf",
Liebe Kunden,

uns wurde heute eine kritische Sicherheitslücke gemeldet, die JTL-Shop 4 bis einschließlich Version 4.06.17 betrifft. Es besteht Ihrerseits dringender Handlungsbedarf, um diese Sicherheitslücke für Ihren JTL-Shop zu schließen. Nach unseren jetzigen Informationen ist bisher kein Schaden in Form von Datendiebstahl entstanden, jedoch sollten Sie das Problem umgehend beheben, um dies zu verhindern.

Im Folgenden finden Sie dazu eine entsprechende Anleitung.

Hosting-Kunden bei JTL mit JTL-Shop 4 haben wir bereits automatisch mit einem Sicherheits-Patch versorgt. JTL-Shop 5 ist nicht betroffen.

*Entfernt durch Moderation.

Wenn Sie eine ältere Version von JTL-Shop nutzen, ändern Sie bitte folgende Code-Zeilen manuell in der Datei classes/class.JTL-Shop.Redirect.php:

$oEntry = Shop::DB()->query(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = '{$cIP}'
AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1
);

Ersetzen durch:

$oEntry = Shop::DB()->queryPrepared(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = :cIP
AND t.cFromUrl = :cURL LIMIT 1",
[
'cIP' => $cIP,
'cURL' => $cUrl
], 1
);

Soweit sieht alles plausibel aus - nur wundert mich:
1) im Forum habe ich davon nichts finden können. Auch nicht auf der JTL-Seite. Oder habe ich etwas übersehen?
2) Die Links zum Download des Patches/neuen Files findet sich unter diesem Link: https://jtl-software.us9.list-manage.com/track/click?u=xxxxx&id=xxxxx&e=xxxxx - d.h. gehen nicht direkt auf die jtl-Seite, sondern via list-amange.com - Newsletter-Tool. In dem Fall aber unglücklick, d.h. das verunsichert mich in Kombination mit 1).

Ist die E-Mail korrekt? Oder ein ziemlich genialer Versuch in den Shop einzudringen?

Und warum ist in der E-Mail kein Link auf die JTL-Seite, um schlichtweg das ganze unabhängig validieren zu können?
 
Zuletzt von einem Moderator bearbeitet:

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.289
339
Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…
 
Zuletzt bearbeitet:

John

Sehr aktives Mitglied
3. März 2012
3.158
703
Berlin
Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.
 

Freund_des_Hauses

Aktives Mitglied
14. Oktober 2015
25
12
Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren
 

maestro

Aktives Mitglied
28. August 2014
15
7
Ja, die Mail ist echt! Klar, veröffentlicht man das nicht überall, soll ja keine Einladung sein… ;)
Einerseits schon klar, andererseits wäre ein ganz ganz kurze Meldung - in Richtung "Bitte beachten Sie die E-Mail ... Shop 4 ..." usw. Es muss ja online nichts konkretes zum Lücke beschrieben werden.

Einen Hinweis im Kundencenter nach dem Login hätte ich schon erwartet.
Ein Download aus dem Kundencenter schafft auch mehr Vertrauen.
Ja, genau um DAS geht es mir. Einfach ein kleiner Hinweis und wie du schriebst, aus ner sicheren Quelle.

Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…
Natürlich ist es sinnvoll, ersteinmal die Lücke zu schließen und die Mail rauszuballern. Allerdings: Welchen nennenswerten zeitlichen Mehraufwand hätte ein kurzes Posting im Forum bedeutet? Ich denke das wäre kaum erwähnenswert. Es muss ja nicht auf deren Webseite direkt erklärt werden, nur der Hinweis zur Validierung. Fertig.

Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.
Ja, genau um das gings mir. Dieser doofe Newslettertracking-Link. Danke dir auch für die Info und Überprüfung.

Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren
Genau das dachte ich mir auch.

Sicherlich, man wird mittlerweile wirklich paranoid. Anderseits wird das Gegenüber immer pfiffiger. Ich konnte mir das in dem Falle echt nicht vorstellen, es passt ja alles - andererseits sind eben schon paar red-flags dabei - die man im kleinen 1x1 eben lernt, nicht zu tun...

call-to-action, der fragwürdige Link - ganz klar. Ich hatte daraufhin im Forum gesucht, auf der Seite, ob das irgendwo nur ein wenig erwähnt wird. Als ich dann nichts fand eben dieses Posting.

DANKE euch allen!
 

SebiW

Sehr aktives Mitglied
2. September 2015
2.686
1.316
Ach, was würde ich mir wünschen, dass meine Herrschaften im Kundensupport auch nur annähernd so paranoid wären wie Ihr...
Wir setzen zwar keinen JTL Shop ein, die gegenseitige Hilfestellung im Forum zu dem Problem war aber mal wieder vorbildlich. JTL hat echt eine tolle Community!
 

niro

Sehr aktives Mitglied
15. August 2012
280
32
Moin,
bei mir hatten jemand wohl gestern Morgen versucht die mySQL Datenbank zu manipulieren, dabei ist der Shop abgestürzt. Der Support hat mir folgende Ursache mitgeteilt:

Hierbei hat sich ein MySQL Prozess aufgehangen, ich habe diesen Prozess einmal beendet und die Webseite funktioniert nun wieder.
Dies war der Prozess:
SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '45.130.147.110' AND t.cFromUrl = '/navi.php/includes/test:test'/**/or/**/sleep(3)/**/and/**/'1' LIMIT 1
Habe natürlich gestern nachdem die Meldung von JTL kam sofort den Code geändert (Shop 4.06.13).

Gruß
niro
 

Enrico W.

Administrator
Mitarbeiter
27. November 2014
8.760
1.787
Liebe Kunden,

wir entschuldigen uns für die Verwirrung, den der gestrige Newsletter bzw. die darin enthaltenen Links bei einigen von Ihnen ausgelöst haben. Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.

Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Wir wünschen Ihnen viel Erfolg und ein schönes Wochenende!
 

LaLumex

Aktives Mitglied
27. Juni 2016
26
0
Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.
 

sah

Sehr aktives Mitglied
11. Juni 2021
330
32
Herten
Besten Dank!

Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...

MfG
Stefan
 

sebjo82

Sehr aktives Mitglied
3. Juni 2021
585
170
Forum lurken zahlt sich mal wieder aus. Wir haben auch noch nichts erhalten, ich hab die Lücke aber schon geschlossen 👍
 

aaha

Sehr aktives Mitglied
11. Januar 2007
548
81
Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...
Ich habe jetzt zwar den Code entsprechend Anleitung umgeschrieben, aber letztlich hab ich keinen blassen Schimmer, was das alles wo bewirkt. Somit hab ich auch keine Idee, wie dies nun konkret getestet werden könnte. Wäre nett, wenn da jemand eine Idee (Anleitung) zu hätte.

Außerdem schreibt JTL in dem "Newsletter"
In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster:
----
Dabei handelt es sich offenbar um eine Prüfung, ob der Shop verwundbar ist.
[...]

Sollten Sie weitere Angriffsmuster in Ihrem Access-Log identifizieren, ist der Vorfall unter Umständen als sicherheitskritisch und datenschutzrelevant einzustufen.

Kann mir bitte jemand einen Tipp geben, wo ich dieses Access- Log finde? Ich würde die Kontrolle gern durchführen.
 
Zuletzt von einem Moderator bearbeitet:

jaquesbubu

Aktives Mitglied
21. Februar 2012
39
0
Hallo,
wie sieht es mit dem Anfragemuster im Access--Logs aus?
In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster

Die Grafik im newsletter ist ja erst nach zigacher Vergrößerung zu erkennen.

*** Administrativ entfernt ***

Sowas steht bei uns auch im Access. log
Also, was tun?

:
 
Zuletzt von einem Moderator bearbeitet:

Diane B.

Guest
Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.
Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane
 

aaha

Sehr aktives Mitglied
11. Januar 2007
548
81
Wo ist dieses Access- Log?
Das Acces- Log kannst du i.a.R über dein Hosting einsehen.
Wo genau?
Bitte hier ggfs. deinen Hoster mit Verweis auf die Dringlichkeit wg. einer Sicherheitslücke um Hilfe.
Ggf. werde ich dies dann auch tun. Lieber wäre mir im Moment allerdings eine schnelle Antwort hier.
 

Ähnliche Themen