Diese Woche wurde eine grobe Sicherheitslücke in der beliebten OnlineShop Komponente „VirtueMart“ bekannt.
Dabei wird es dem Angreifer ermöglicht, sich als registrierter Shop-Nutzer selber SuperAdmin-Rechte zu geben. Alle Versionen die älter als VM 2.6.10/2.9.9B sind, sind von diesem Problem betroffen.
Am Mittwoch hat der Sicherheits-Provider Sucuri die Lücke in VirtueMart publik gemacht. VirtueMart wurde bis heute mehr als 3.5 Millionen mal herunter geladen und ist somit nach wie vor stark verbreitet.
Da beim Online-Shopping nebst den personenbezogenen Daten u.a. auch Bezahldaten gespeichert werden, muss die Sicherheit bestmöglichst gewährleistet werden, um das Vertrauen der Kunden nicht unnötig zu belasten.
Dabei hat sich der VM-Entwickler zunächst etwas ungehalten reagiert und das Problem fälschlicherweise auf die Joomla-Eigene „JUser“ Klasse zugeschoben.
Doch die JUser-Klasse an sich ist nicht das Problem und gilt grundsätzlich als sicher, solange man sie korrekt anwendet. Das Problem liegt bei VirtueMart bei der nicht richtig eingesetzen JUser Klasse in der Komponente selbst.
Dabei werden benutzerbezogene Angaben ungeprüft in die DB-Tabelle übergeben, was einem Angreifer ermöglicht, sich eine andere Nutzerrolle (z.B. SuperAdmin) zu zuteilen. Auf diese Weise kann er die gesamte Kontrolle über die Website übernehmen.
Seit heute kann man den Patch, der dieses Problem beheben soll, mit der Versionsnummer 2.6.10 und 2.9.9B auf der Projektseite herunterladen. Jeder der VirtueMart einsetzt sollte schleunigst seine Komponente aktualisieren.
Für Shopbetreiber die aus irgendwelchen Gründen nicht aktualisieren können oder wollen, finden auf der Webseite des Entwickler eine Update-Anleitung um das Leck manuell zu schliessen. Da Sucuri das Leck detailliert beschrieben hat, muss ab sofort mit vermehrten Angriffen auf VirtueMart-Installationen gerechnet werden.
Quelle: sucuri.net