Sicherheitsrisiko: xt:Commerce-Shopsysteme angreifbar

Das Shopsystem xt:Commerce und seine Ableger Gambio und Modified enthalten eine Sicherheitslücke, welche die Übernahme des gesamten Shops möglich machen soll. Gefunden wurde die Lücke bei einem Sicherheitstest von Gambio selbst.

Im Telefoninterview mit Onlinehändler-News.de gab Gambio-Geschäftsführer Daniel Schnadt an, dass das Problem schon von Anfang an im System vorhanden gewesen sei, aber bisher durch seine Komplexität nicht entdeckt wurde. Genauere Details über die Sicherheitslücke will Gambio nicht bekannt geben, um die Nutzer der Software vor Angriffen auf ihre Shops zu schützen. Bisher sei es auch noch nicht zu Angriffen auf Shops gekommen, doch das könnte sich durch Bekanntwerden des Problems ändern.

Sicherheitslücke kritisch, aber kein Grund zur Panik

Die Sicherheitslücke sei sehr kritisch, so Schnadt. Sie ermöglicht es außenstehenden Personen, den Online-Shop komplett zu übernehmen. Entscheidend sei ein Besuch auf der „Wer ist online“-Seite des Shopsystems. Es wird demnach dringend geraten, dass Shopbetreiber sich vorerst von dieser Seite fernhalten sollten.

Obwohl es sich um eine kritische Lücke handelt, versichert Schnadt, dass kein Grund zur Panik bestehe. In der aktuellsten Gambio-Version ist die Lücke bereits geschlossen, nur die Versionen bis 2.0.13.3 sollen die Schwachstelle noch aufweisen. Für diese älteren Versionen hat Gambio auf seiner Seite umgehend einen einfach zu installierenden Patch zur Verfügung gestellt.

Gambio bietet inoffiziellen xt:C-Patch an

Die Betreiber von Modified und xt:Commerce wurden ebenfalls direkt nach Entdeckung der Sicherheitslücke von Gambio informiert. Modified stellt seinen Nutzern bereits einen eigenen Patch zur Verfügung, um das Shopsystem wieder sicher zu machen. Xt:Commerce will nach Angaben von Schnadt nicht reagieren und habe bisher auch noch nicht seine Nutzer informiert. Schlechte Nachrichten für die Nutzer, denn auf sie könnte nun eine Angriffswelle zukommen. Für die xt:C-Version 3.04 SP2.1 stellt Gambio nun selbst einen inoffiziellen Patch zur Verfügung.

Update

Gegenüber OnlinehändlerNews sagte Mario Zanier von xt-commerce: "xt:Commerce 3 ist seit 2008 End of Life und ohne Herstellersupport, wir raten allen Nutzern der veralteten Software und darauf basierenden Lösungen ein Update auf aktuelle Shopversionen - aktuell xt:Commerce 4.1.0"