Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

maestro

Aktives Mitglied
28. August 2014
15
7
Hallo,

ich habe gerade eine E-Mail bekommen mit dem Betreff "WICHTIG: Sicherheitslücke in JTL- Shop 4 - Dringender Handlungsbedarf",
Liebe Kunden,

uns wurde heute eine kritische Sicherheitslücke gemeldet, die JTL-Shop 4 bis einschließlich Version 4.06.17 betrifft. Es besteht Ihrerseits dringender Handlungsbedarf, um diese Sicherheitslücke für Ihren JTL-Shop zu schließen. Nach unseren jetzigen Informationen ist bisher kein Schaden in Form von Datendiebstahl entstanden, jedoch sollten Sie das Problem umgehend beheben, um dies zu verhindern.

Im Folgenden finden Sie dazu eine entsprechende Anleitung.

Hosting-Kunden bei JTL mit JTL-Shop 4 haben wir bereits automatisch mit einem Sicherheits-Patch versorgt. JTL-Shop 5 ist nicht betroffen.

*Entfernt durch Moderation.

Wenn Sie eine ältere Version von JTL-Shop nutzen, ändern Sie bitte folgende Code-Zeilen manuell in der Datei classes/class.JTL-Shop.Redirect.php:

$oEntry = Shop::DB()->query(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = '{$cIP}'
AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1
);

Ersetzen durch:

$oEntry = Shop::DB()->queryPrepared(
"SELECT *
FROM tredirectreferer tr
LEFT JOIN tredirect t
ON t.kRedirect = tr.kRedirect
WHERE tr.cIP = :cIP
AND t.cFromUrl = :cURL LIMIT 1",
[
'cIP' => $cIP,
'cURL' => $cUrl
], 1
);

Soweit sieht alles plausibel aus - nur wundert mich:
1) im Forum habe ich davon nichts finden können. Auch nicht auf der JTL-Seite. Oder habe ich etwas übersehen?
2) Die Links zum Download des Patches/neuen Files findet sich unter diesem Link: https://jtl-software.us9.list-manage.com/track/click?u=xxxxx&id=xxxxx&e=xxxxx - d.h. gehen nicht direkt auf die jtl-Seite, sondern via list-amange.com - Newsletter-Tool. In dem Fall aber unglücklick, d.h. das verunsichert mich in Kombination mit 1).

Ist die E-Mail korrekt? Oder ein ziemlich genialer Versuch in den Shop einzudringen?

Und warum ist in der E-Mail kein Link auf die JTL-Seite, um schlichtweg das ganze unabhängig validieren zu können?
 
Zuletzt von einem Moderator bearbeitet:

NETZdinge.de

Sehr aktives Mitglied
7. April 2010
2.117
282
Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…
 
Zuletzt bearbeitet:

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.
 

Freund_des_Hauses

Aktives Mitglied
14. Oktober 2015
25
12
Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren
 

maestro

Aktives Mitglied
28. August 2014
15
7
Ja, die Mail ist echt! Klar, veröffentlicht man das nicht überall, soll ja keine Einladung sein… ;)
Einerseits schon klar, andererseits wäre ein ganz ganz kurze Meldung - in Richtung "Bitte beachten Sie die E-Mail ... Shop 4 ..." usw. Es muss ja online nichts konkretes zum Lücke beschrieben werden.

Einen Hinweis im Kundencenter nach dem Login hätte ich schon erwartet.
Ein Download aus dem Kundencenter schafft auch mehr Vertrauen.
Ja, genau um DAS geht es mir. Einfach ein kleiner Hinweis und wie du schriebst, aus ner sicheren Quelle.

Ja, hätte man machen können… Ich kenne da aber den Aufwand nicht und da ist es wahrscheinlich sinnvoller, schnell das Problem zu lösen und die Lösung zu kommunizieren, als sich mit so etwas aufzuhalten…
Natürlich ist es sinnvoll, ersteinmal die Lücke zu schließen und die Mail rauszuballern. Allerdings: Welchen nennenswerten zeitlichen Mehraufwand hätte ein kurzes Posting im Forum bedeutet? Ich denke das wäre kaum erwähnenswert. Es muss ja nicht auf deren Webseite direkt erklärt werden, nur der Hinweis zur Validierung. Fertig.

Der Download über irgend eine Newsletterauswertung war mir auch suspekt.

Ich habe den Code der verteilten Datei auf Änderungen gegenüber der originalen Version der Datei geprüft. Das technisch beschriebene Problem der SQL Injection wurde gelöst. Weitere Ändergungen sind nicht enthalten.

Das Ding ist authentisch und sollte dringend installiert werden.
Ja, genau um das gings mir. Dieser doofe Newslettertracking-Link. Danke dir auch für die Info und Überprüfung.

Ich habe auch erst nach einem Vergleich beider Dateien den Austausch vorgenommen.
Fragt sich was Otto-Normal-User da macht.

Die Mail hat halt alles, was nach Phishing aussieht.
- Call to Action
- Fragwürdiger Link
- Keine Möglichkeit das beim Anbieter auf der Seite zu verifizieren
Genau das dachte ich mir auch.

Sicherlich, man wird mittlerweile wirklich paranoid. Anderseits wird das Gegenüber immer pfiffiger. Ich konnte mir das in dem Falle echt nicht vorstellen, es passt ja alles - andererseits sind eben schon paar red-flags dabei - die man im kleinen 1x1 eben lernt, nicht zu tun...

call-to-action, der fragwürdige Link - ganz klar. Ich hatte daraufhin im Forum gesucht, auf der Seite, ob das irgendwo nur ein wenig erwähnt wird. Als ich dann nichts fand eben dieses Posting.

DANKE euch allen!
 

SebiW

Sehr aktives Mitglied
2. September 2015
2.406
1.002
Ach, was würde ich mir wünschen, dass meine Herrschaften im Kundensupport auch nur annähernd so paranoid wären wie Ihr...
Wir setzen zwar keinen JTL Shop ein, die gegenseitige Hilfestellung im Forum zu dem Problem war aber mal wieder vorbildlich. JTL hat echt eine tolle Community!
 

niro

Gut bekanntes Mitglied
15. August 2012
270
5
Moin,
bei mir hatten jemand wohl gestern Morgen versucht die mySQL Datenbank zu manipulieren, dabei ist der Shop abgestürzt. Der Support hat mir folgende Ursache mitgeteilt:

Hierbei hat sich ein MySQL Prozess aufgehangen, ich habe diesen Prozess einmal beendet und die Webseite funktioniert nun wieder.
Dies war der Prozess:
SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '45.130.147.110' AND t.cFromUrl = '/navi.php/includes/test:test'/**/or/**/sleep(3)/**/and/**/'1' LIMIT 1
Habe natürlich gestern nachdem die Meldung von JTL kam sofort den Code geändert (Shop 4.06.13).

Gruß
niro
 

Enrico W.

Administrator
Mitarbeiter
27. November 2014
8.218
1.608
Liebe Kunden,

wir entschuldigen uns für die Verwirrung, den der gestrige Newsletter bzw. die darin enthaltenen Links bei einigen von Ihnen ausgelöst haben. Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.

Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Wir wünschen Ihnen viel Erfolg und ein schönes Wochenende!
 

LaLumex

Aktives Mitglied
27. Juni 2016
25
0
Bitte beachten Sie, dass es sich wirklich um eine kritische Sicherheitslücke handelt, die, wie in unserer Anleitung beschrieben, schnellstmöglich behoben werden muss.

Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.
 

sah

Sehr aktives Mitglied
11. Juni 2021
280
25
Herten
Besten Dank!

Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...

MfG
Stefan
 

sebjo82

Sehr aktives Mitglied
3. Juni 2021
492
128
Forum lurken zahlt sich mal wieder aus. Wir haben auch noch nichts erhalten, ich hab die Lücke aber schon geschlossen 👍
 

aaha

Sehr aktives Mitglied
11. Januar 2007
531
59
Hilfreich wäre vielleicht noch ein abschließender Funktionstest, der kurz class.JTL- Shop.Redirect.php aufruft.
JTL-Mails könnten ansonsten digital signiert werden ...
Ich habe jetzt zwar den Code entsprechend Anleitung umgeschrieben, aber letztlich hab ich keinen blassen Schimmer, was das alles wo bewirkt. Somit hab ich auch keine Idee, wie dies nun konkret getestet werden könnte. Wäre nett, wenn da jemand eine Idee (Anleitung) zu hätte.

Außerdem schreibt JTL in dem "Newsletter"
In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster:
----
Dabei handelt es sich offenbar um eine Prüfung, ob der Shop verwundbar ist.
[...]

Sollten Sie weitere Angriffsmuster in Ihrem Access-Log identifizieren, ist der Vorfall unter Umständen als sicherheitskritisch und datenschutzrelevant einzustufen.

Kann mir bitte jemand einen Tipp geben, wo ich dieses Access- Log finde? Ich würde die Kontrolle gern durchführen.
 
Zuletzt von einem Moderator bearbeitet:

jaquesbubu

Aktives Mitglied
21. Februar 2012
39
0
Hallo,
wie sieht es mit dem Anfragemuster im Access--Logs aus?
In den von uns gemeldeten Fällen fanden wir in den Access-Logs der Shops folgende Anfragemuster

Die Grafik im newsletter ist ja erst nach zigacher Vergrößerung zu erkennen.

*** Administrativ entfernt ***

Sowas steht bei uns auch im Access. log
Also, was tun?

:
 
Zuletzt von einem Moderator bearbeitet:

Diane B.

Guest
Ging der Newsletter denn schon an alle Kunden raus? Hier kam nämlich nichts an. Wir wurden soeben von unserem Servicepartner telefonisch auf die Sicherheitslücke hingewiesen, sonst wüssten wir nichts davon.
Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane
 

aaha

Sehr aktives Mitglied
11. Januar 2007
531
59
Wo ist dieses Access- Log?
Das Acces- Log kannst du i.a.R über dein Hosting einsehen.
Wo genau?
Bitte hier ggfs. deinen Hoster mit Verweis auf die Dringlichkeit wg. einer Sicherheitslücke um Hilfe.
Ggf. werde ich dies dann auch tun. Lieber wäre mir im Moment allerdings eine schnelle Antwort hier.
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Workflow Aktion E-Mail senden kann nicht Plain und HTML Email zusammen versenden Arbeitsabläufe in JTL-Wawi 6
Neu E-Mail-Adresse beim Versand von Lieferantenbestellungen User helfen Usern - Fragen zu JTL-Wawi 0
Neu Lieferantenbestellung als CSV mit selbst festgelegten Spalten per Mail senden Arbeitsabläufe in JTL-Wawi 1
In Email-Vorlage: E-Mail Adresse im eigenen Feld verwenden JTL-Wawi 1.8 4
Beantwortet #GEFUNDEN# Suche jemand , der uns eine (automatische) SQL Abfrage erstellen kann mit Mail Ausgabe Dienstleistung, Jobs und Ähnliches 2
Gelöst Per Workflow im Servicedesk eine Mail versenden. Gelöste Themen in diesem Bereich 4
Wie kann ich eine Benachrichtigung bei einem Wareneingang auslösen mit einer Mail über die Artikel die eingebucht wurden JTL-Wawi 1.8 2
Neu Mail-Versand & Plugin Doku Technische Fragen zu Plugins und Templates 2
Beantwortet WF Mail wenn Amazon Artikel nicht verknüpft ist JTL-Workflows - Ideen, Lob und Kritik 1
Neu E-Mail mit Strato - Fehler normal? Betrieb / Pflege von JTL-Shop 6
Neu E-Mail Vorlagen erweitern: Neue Vorlage à la Header, bzw. Sprachvariable nutzen? Templates für JTL-Shop 3
Ausgabe per E-Mail geht plötzlich nicht mehr, Testmail aus Wawi aber schon JTL-Wawi 1.6 22
Nur noch sporadischer Versand per Mail von Rechnungen, Lieferscheinen und Mahnungen nach Update auf Version 1.8. JTL-Wawi 1.8 0
Neu E-Mail Versandbenachrichtigung aus JTL Wawi 1.8.10.0 wird doppelt versendet User helfen Usern 0
Neu E-Mail Versand in JTL - Absender ändern User helfen Usern 2
Neu E-Mail Benachrichtigung, wenn Artikel einen bestimmten Lagerbestand unterschreitet User helfen Usern - Fragen zu JTL-Wawi 0
Neu Plugin Mail senden - Cc / Bcc Technische Fragen zu Plugins und Templates 4
Neu SMTP Mail einrichten JTL-Shop 5 User helfen Usern - Fragen zu JTL-Wawi 4
Neu Formatierung der E-Mail Bestätigung User helfen Usern - Fragen zu JTL-Wawi 2
Neu PHP mail() Versand Betrieb / Pflege von JTL-Shop 7
Firmen- und E-Mail Einstellungen: Wie einrichten, wenn Firmenname (Impressum) anders ist als Shopname/Marke? JTL-Wawi 1.8 0
Neu Bestellbestätigung E-Mail Überweisungsbetrag falsch JTL-Shop - Fehler und Bugs 4
Neu Wawi Sicherheitslücke geschlossen? Details? User helfen Usern - Fragen zu JTL-Wawi 13

Ähnliche Themen