Vor einigen Wochen wurde von der xt:Commerce GmbH ein Sicherheitspatch für xt:Commerce 4.1.0 herausgegeben.
Im Zuge dessen, wurde dort anscheinend der Quellcode auf weitere Lücken untersucht. Laut Meldung von xt:Commerce ist festgestellt worden, dass an verschiedenen Stellen SQL-Injections möglich sind, so dass für die Version xt:Commerce 4.1.x bis 4.2 Sicherheitspatches („Service-Packs“) herausgegeben wurden.
Diese sind auf der Seite von xt:Commerce erhältlich inkl. Installationsanleitung. Neben dem Austausch der Ordner /xtCore/, /xtAdmin/ und /xtFramework/ müssen auch eine Vielzahl von Plugins überprüft und aktualisiert werden.
Auch wenn derzeit noch kein Fall bekannt ist, bei dem diese Lücke ausgenutzt wurde, wird den Shopbetreibern dringend zu einem Update geraten. Bevor damit begonnen wird, sollte aber wie immer ein Komplettbackup inkl. Datenbank erfolgen, zumal in diesem Fall die Änderungen sehr umfangreich ausfallen.
Laut xt:Commerce wird jetzt eine Technik eingesetzt, die alle Datenbank-Abfragen im Vorfeld darauf überprüft, ob alle Parameter „escaped“ sind (Prepared Statements). Weiterhin wurde mitgeteilt, dass bestehenden Plugins in der Regel nicht angepasst werden müssen und auch keine Änderungen am Template erforderlich sind. Für die zukünftige Entwicklung von xt:Commerce-Plugins werden in der Dokumentation zu den Service Packs Hinweise gegeben, wie die Abfrage bzw. Anpassung der Datenbank bei der Installation der Plugins in Zukunft erfolgen soll.
Für ältere Version von xt:Commerce 4 (Also 4.0.x) wird dringend ein Update auf mindestens 4.1.0 empfohlen, so dass davon auszugehen ist, dass auch diese Version von der Sicherheitslücke betroffen sein sollten.
Antworten