Werbung
Freitag, 12 September 2014 18:43

Kritische Sicherheitslücke in VirtueMart

Geschrieben von

Diese Woche wurde eine grobe Sicherheitslücke in der beliebten OnlineShop Komponente "VirtueMart" bekannt.

Dabei wird es dem Angreifer ermöglicht, sich als registrierter Shop-Nutzer selber SuperAdmin-Rechte zu geben. Alle Versionen die älter als VM 2.6.10/2.9.9B sind, sind von diesem Problem betroffen.

Am Mittwoch hat der Sicherheits-Provider Sucuri die Lücke in VirtueMart publik gemacht. VirtueMart wurde bis heute mehr als 3.5 Millionen mal herunter geladen und ist somit nach wie vor stark verbreitet.

Da beim Online-Shopping nebst den personenbezogenen Daten u.a. auch Bezahldaten gespeichert werden, muss die Sicherheit bestmöglichst gewährleistet werden, um das Vertrauen der Kunden nicht unnötig zu belasten.

Dabei hat sich der VM-Entwickler zunächst etwas ungehalten reagiert und das Problem fälschlicherweise auf die Joomla-Eigene "JUser" Klasse zugeschoben.

Anzeige:

Doch die JUser-Klasse an sich ist nicht das Problem und gilt grundsätzlich als sicher, solange man sie korrekt anwendet. Das Problem liegt bei VirtueMart bei der nicht richtig eingesetzen JUser Klasse in der Komponente selbst.

Dabei werden benutzerbezogene Angaben ungeprüft in die DB-Tabelle übergeben, was einem Angreifer ermöglicht, sich eine andere Nutzerrolle (z.B. SuperAdmin) zu zuteilen. Auf diese Weise kann er die gesamte Kontrolle über die Website übernehmen.

Seit heute kann man den Patch, der dieses Problem beheben soll, mit der Versionsnummer 2.6.10 und 2.9.9B auf der Projektseite herunterladen. Jeder der VirtueMart einsetzt sollte schleunigst seine Komponente aktualisieren.

Für Shopbetreiber die aus irgendwelchen Gründen nicht aktualisieren können oder wollen, finden auf der Webseite des Entwickler eine Update-Anleitung um das Leck manuell zu schliessen. Da Sucuri das Leck detailliert beschrieben hat, muss ab sofort mit vermehrten Angriffen auf VirtueMart-Installationen gerechnet werden.

Quelle: sucuri.net

Fehler im Text gefunden? Dann kontaktiere mich bitte. Vielen Dank!
Gelesen 6995 mal
BLOG COMMENTS POWERED BY DISQUS
Joomlainfo

Partner

Wir sagen danke an:
Bestes Joomla Hosting dem offiziellen Hosting-Partner und

Joomla Templatesdem offiziellen Template-Partner

Um die Webseite für dich optimal zu gestalten und fortlaufend verbessern zu können, werden hier Cookies verwendet. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhälst du im Impressum.

Verstanden und stimme zu!

Einen Fehler im Artikel melden

Bitte benütze dieses Formular, um einen Fehler im Artikel zu melden.

Die mit dem * gekenntzeichneten Felder müssen zwingend ausgefüllt werden!