Shopbetreiber aufgepasst. Sicherheits-Tests im Hause Gambio haben eine kritischen Sicherheitslücke bei xt-Commerce (Version 3.04 SP2.1) sowie “modified” und “Gambio” aufgedeckt. Ein Patch zur Behebung der Sicherheitslücke liegt bereits zum Download bereit.
Im deutschsprachigen Raum sind über 50.000 Online-Händler durch eine Sicherheitslücke in ihrer Shop-Software akut gefährdet, schätzt Gambio. Bei einem umfangreichen Security-Check ist der Softwarehersteller auf eine kritische Sicherheitslücke gestoßen. Über diese Sicherheitslücke ist es möglich, dass Dritte Zugang zur Administration des Shops erlangen können und somit praktisch die Kontrolle über den gesamten Shop inkl. der Kunden- und Bestelldaten übernehmen könnten.
“Betroffen sind nach unserem Kenntnisstand xt-commerce Shops (getestet in Version 3.04 SP2.1) sowie darauf aufbauende Systeme, wozu z.B. “modified” und “Gambio” gehören. In der aktuellen Gambio Version ist die Sicherheitslücke bereits geschlossen. Die Entwickler von xt-commerce und modified wurden gestern von uns benachrichtigt.”
Gambio stuft diese Sicherheitslücke als sehr kritisch ein. Ein Patch steht zur Verfügung. Auch ein Patch für xt-commerce und modified können dort heruntergeladen werden.
“Da die Lücke im Rahmen unserer Tests entdeckt wurde, gehen wir davon aus, dass sie bislang noch nicht aktiv ausgenutzt wurde. Mit dem Bekanntwerden könnte sich dies jedoch nun ändern, weshalb betroffene Shopbetreiber diese Lücke nun schnellstmöglich schließen sollten. Um möglichst viele Shopbetreiber zu erreichen, halten wir eine zeitnahe Veröffentlichung für sinnvoll.”
Ist oscommerce auch betroffen??
Danke
Ganz vielen lieben Dank für die Information!
Und ich dachte gerade die Xt-Commerce Shops sind die sichersten, da ich auf der Suche nach einem geeigneten Shopsystem war und mir diesbzüglich Infos im Netz holen wollte, bin ich dann auf diese Seite gestossen, sehr interessant zu wissen, danke.
@Kristin Schmidt
Hallo Frau Schmidt,
leider muss man davon ausgehen, dass es keine Software ohne Sicherheitsücken gibt. Ein Shopsystem ohne Sicherheitslücken oder Schwachstellen werden Sie daher kaum finden.
Achten Sie bei der Auswahl daher eher darauf, dass es eine aktive Community gibt, die Sicherheitslücken aufspürt und anschließend durch passende Patches behebt.
Oft werden vorhandene Patches nur leider nicht zeitnah eingepflegt.
Beste Grüße
Peter Embscher
xt-Commerce basiert auf os-Commerce und verfügt in der SP 2.1 Version über so viele Fehler, Schwachstellen und veraltetet Funktionen, das einem die Haare zu Berge stehen. Hinzu kommt eine Programmierung die massiv verwurstelt ist, das man überhaupt nicht durchblickt. Gambio und modified haben wenigstens versucht xt-Commerce zu verbessern, einfacher zu gestalten und Sicherheitslücken zu schließen. Jedoch ist aus meiner Sicht dies unmöglich zu schaffen, denn das System ist generell veraltet, mit unnötigen Funktionen ausgestattet und die Datenbank ist der größte Schwachpunkt. Wenn man bedenkt das 3.04 SP 2.1 seit 2007 auf dem Markt ist und erst jetzt diese Sicherheitslücke bekannt wurde, dann muss man sich folgendes fragen. Wie viele Sicherheitslücken gibt es noch , warum wurde es erst jetzt bemerkt und wer hat bisher von dieser Sicherheitslücke profitiert?
Wenn man ehrlich ist und sich das System genau anschaut und selbst am Shopsystem programmiert, dann muss man klar und deutlich sagen, dass alles was auf xt-Commerce basiert, ein Fass ohne Boden ist. Und trotz aller Kritik, es ist leider immer noch das billigste und beste System auf dem Markt.
Das ganze ist natürlich etwas aufgebauscht.
Es betrifft hier eine Version welche 2006 veröffentlich wurde, seitdem gibt es > 30 neue xt:Commerce Versionen welche dieses Problem nicht aufweisen.
@Kristin
Nimm Oxid!
Das ist in der CE Version kostenlos und Sicherheitslücken werden auch schnell behoben. Die Softwarearchitektur ist sehr gut. Aus meiner Sicht besser als von XT-Commerce oder OSCommerce und im Vergleich zu anderen Shoplösungen wie z.B. Magento “günstig” in der Entwicklung (Magento ist zwar sehr flexibel aber unheimlich aufwendig und damit teuer in der Entwicklung)
Bei OXID gibt es mittlerweile viele Module, die im Vergleich zu einer Neuentwicklung der entsprechende Funktion, “spottbillig” sind.
Somit kannst du deinen Shop auch immer mit weiteren Funktionen aufrüsten, ohne daß du dafür tief in die Tasche greifen musst, um die Neuentwicklung zu bezahlen.
Ich selber habe schon die Systeme OSCommerce, XTCommerce, Magento & OXID programmiert und administriert. Ebenso eine nicht quelloffene Shopsoftware.
Nach mehreren Jahren Erfahrung kann ich dir daher wärmstens OXID ans Herz legen. Vor allen Dingen aus betriebswirtschaftlicher Sicht!
Gruß Jason
Hallo, heißt also, dass man sich bezüglich der Sicherheit keine Sorgen machen muss, da dies ältere Versionen betrifft? Bestenfalls kann man ja noch das bereitgestellte Sicherheitstool installieren, oder?
Hallo,
vielen Dank für die Information. Da ich XT:Modified verwende, bin ich natürlich bei solchen Meldung immer gleich hellhörig. Mich hats zum Glück aber nicht betroffen.
Grüße
Claudia