Sicherheitslücke in der OpenFlashChart Lib

Betrifft alle JTL-Shops einschließlich Shop Version 3.17

 

Die im JTL-Shop3 enthaltene OpenFlashChart Bibliothek enthält eine Datei ofc_upload_image.php, welche unter seltenen Umständen genutzt werden kann, den Webserver zu kompromittieren.


In JTL-Shop3 ist via .htaccess der Zugriff auf php-Dateien unterhalb /includes generell untersagt, weshalb die Sicherheitslücke auf den meisten Webservern nicht ausgenutzt werden kann.
Bei Webservern in Kombination mit PHP-FPM (FastCGI Process Manager, eine alternative FastCGI-Implementierung) ist es möglich, dass der .htaccess-Schutz unwirksam ist. Diese Systeme sind über die Datei ofc_upload_image.php angreifbar, sofern keine alternativen Maßnahmen zum Schutz der php-Dateien unter /includes ergriffen wurden.

So testen Sie, ob Ihr Webserver Zugriffe auf php-Dateien unter /includes/ ablehnt: Rufen Sie Ihren Shop auf und hängen Sie an die URL folgendes an:
/includes/libs/flashchart/php-ofc-library/ofc_upload_image.php
Erscheint eine Meldung wie "403 Forbidden - You don't have permission to access /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php on this server.", dann ist Ihr Shop gegen Angriffe von außerhalb geschützt.

Bei unseren JTL-Hosting-Kunden kann die OpenFlashChart-Sicherheitslücke nicht ausgenutzt werden.

Von der Sicherheitslücke sind außerdem ältere Piwik-Versionen (bis einschließlich Version 0.4.3) betroffen, welche ebenfalls OpenFlashChart nutzen. Falls Sie noch eine solche ältere Piwik-Version einsetzen, führen Sie bitte ein Update durch.

Weitere Details:

http://forums.cnet.com/7726-6132_102-5078545.html
http://security.widyani.com/web-application-security/piwik-and-open-flash-chart-vulnerability.html
Patch:

Löschen Sie die von der Sicherheitslücke betroffene Datei /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php in Ihrem Shop. Die Datei wird nicht benötigt.

Artikel bewerten
(0 Stimmen)
Björn Fischer

  • Inhaber
  • Programmierer

Schreibe einen Kommentar

Achten Sie darauf, die erforderlichen Informationen einzugeben (mit Stern * gekennzeichnet).
HTML-Code ist nicht erlaubt.

Nach oben

JTL-Software

Weitere Informationen über unsere Plugins und Angebote rund um die Produkte von JTL-Software

Weitere Informationen

Zertifizierungen

JTL Shop Zertifikat Horizontal

FacebookG+