Nutzern der Open-Source-Shopsysteme osCommerce oder xt:commerce in Verbindung mit iPayment-Kreditkartenzahlung wird dringend die Installation eines Patches empfohlen, um eine gefährliche Lücke bei der Bezahlung im Shop zu schließen. Der Fehler ermöglicht unter bestimmten Bedingungen einen Einkauf ohne Zahlung.
Hier erhalten Sie weitere Informationen und Links zum Bug-Fix.
Weitere Informationen finden Sie bei heise.de:
Wie viele Shops genau von dem Problem betroffen sind, ist unbekannt. Schätzungen zufolge kommen die beiden Shop-Systeme zusammengenommen auf 25 Prozent Marktanteil - allein xt:commerce soll auf rund 100.000 Servern weltweit seine Arbeit verrichten. Sowohl für osCommerce als auch für xt:commerce stehen Patches bereit, um die Schwachstelle zu beheben. Anwender von xt:commerce werden bereits per Newsletter über das Problem informiert. ipayment will im Laufe des heutigen Tages seine ipayment-Händler anschreiben, die die genannten Shopsysteme einsetzen.
Darüber hinaus werden die Shops mit dem Patch nun auch den Anforderungen der Kreditkartenherausgeber gerecht. Bislang verarbeiten sie trotz gegenteiliger Behauptung nämlich sehr wohl Kreditkartendaten, was sie laut PCI-DSS-Standard (PDF-Dokument) eigentlich nicht dürften - und weshalb sie ja auf externe Zahlungsdienstleister wie ipayment zurückgreifen.
Von 1&1, dem Betreiber von iPayment, wurde uns soeben bestätigt, dass der Fehler nicht im Zahlungssystem sondern in einem fehlerhaften Shopmodul liegt.
Patch steht zum Download bereit
Durch das aktualisierte Modul wird eine Lücke in der Shopsoftware geschlossen, die ein Ändern des Bestellstatus ohne Durchführung der Zahlung ermöglicht.