Sicherheitslücke in der OpenFlashChart Lib
Betrifft alle JTL-Shops einschließlich Shop Version 3.17
Die im JTL-Shop3 enthaltene OpenFlashChart Bibliothek enthält eine Datei ofc_upload_image.php, welche unter seltenen Umständen genutzt werden kann, den Webserver zu kompromittieren.
In JTL-Shop3 ist via .htaccess der Zugriff auf php-Dateien unterhalb /includes generell untersagt, weshalb die Sicherheitslücke auf den meisten Webservern nicht ausgenutzt werden kann.
Bei Webservern in Kombination mit PHP-FPM (FastCGI Process Manager, eine alternative FastCGI-Implementierung) ist es möglich, dass der .htaccess-Schutz unwirksam ist. Diese Systeme sind über die Datei ofc_upload_image.php angreifbar, sofern keine alternativen Maßnahmen zum Schutz der php-Dateien unter /includes ergriffen wurden.
So testen Sie, ob Ihr Webserver Zugriffe auf php-Dateien unter /includes/ ablehnt: Rufen Sie Ihren Shop auf und hängen Sie an die URL folgendes an:
/includes/libs/flashchart/php-ofc-library/ofc_upload_image.php
Erscheint eine Meldung wie "403 Forbidden - You don't have permission to access /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php on this server.", dann ist Ihr Shop gegen Angriffe von außerhalb geschützt.
Bei unseren JTL-Hosting-Kunden kann die OpenFlashChart-Sicherheitslücke nicht ausgenutzt werden.
Von der Sicherheitslücke sind außerdem ältere Piwik-Versionen (bis einschließlich Version 0.4.3) betroffen, welche ebenfalls OpenFlashChart nutzen. Falls Sie noch eine solche ältere Piwik-Version einsetzen, führen Sie bitte ein Update durch.
Weitere Details:
http://forums.cnet.com/7726-6132_102-5078545.html
http://security.widyani.com/web-application-security/piwik-and-open-flash-chart-vulnerability.html
Patch:
Löschen Sie die von der Sicherheitslücke betroffene Datei /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php in Ihrem Shop. Die Datei wird nicht benötigt.