Sicherheitslücken in 2 Fremd-Bibliotheken in JTL-Shop3

Die im JTL-Shop3 verwendeten Drittanbieter-Bibliotheken OpenFlashChart sowie Minify weisen Sicherheitslücken auf, welche in seltenen Fällen (abhängig vom Webhoster) ausgenutzt werden können.
Von D. Hannappel vor etwa 4 Jahren hinzugefügt

Sicherheitslücke in der OpenFlashChart Lib

Betrifft: JTL-Shop3.00 bis 3.17.

Beschreibung:

Die im JTL-Shop3 enthaltene OpenFlashChart Bibliothek enthält eine Datei ofc_upload_image.php, welche unter seltenen Umständen genutzt werden kann, den Webserver zu kompromittieren.
In JTL-Shop3 ist via .htaccess der Zugriff auf php-Dateien unterhalb /includes generell untersagt, weshalb die Sicherheitslücke auf den meisten Webservern nicht ausgenutzt werden kann.
Bei Webservern in Kombination mit PHP-FPM (FastCGI Process Manager, eine alternative FastCGI-Implementierung) ist es möglich, dass der .htaccess-Schutz unwirksam ist. Diese Systeme sind über die Datei ofc_upload_image.php angreifbar, sofern keine alternativen Maßnahmen zum Schutz der php-Dateien unter /includes ergriffen wurden.

So testen Sie, ob Ihr Webserver Zugriffe auf php-Dateien unter /includes/ ablehnt: Rufen Sie Ihren Shop auf und hängen Sie an die URL folgendes an:
/includes/libs/flashchart/php-ofc-library/ofc_upload_image.php
Erscheint eine Meldung wie "403 Forbidden - You don't have permission to access /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php on this server.", dann ist Ihr Shop gegen Angriffe von außerhalb geschützt.

Bei unseren JTL-Hosting-Kunden kann die OpenFlashChart-Sicherheitslücke nicht ausgenutzt werden.

Von der Sicherheitslücke sind außerdem ältere Piwik-Versionen (bis einschließlich Version 0.4.3) betroffen, welche ebenfalls OpenFlashChart nutzen. Falls Sie noch eine solche ältere Piwik-Version einsetzen, führen Sie bitte ein Update durch.

Weitere Details:

Patch:

Löschen Sie die von der Sicherheitslücke betroffene Datei /includes/libs/flashchart/php-ofc-library/ofc_upload_image.php in Ihrem Shop. Die Datei wird nicht benötigt.

Minify Sicherheitslücke

Betrifft: JTL-Shop3.00 bis 3.17

Vorab: Die Sicherheitslücke kann dank der restriktiven Konfiguration in JTL-Shop3 nicht ausgenutzt werden.

Beschreibung:

Minify bietet in der Standard-Konfiguration (nicht jedoch in der im JTL-Shop3 angepassten Konfiguration) eine Sicherheitslücke, über die ein Angreifer den Inhalt beliebiger Dateien auf dem Webserver auslesen kann. Die Sicherheitslücke nutzt den Zugriff über den GET-Parameter "f", welcher zum direkten Minimieren von Dateien verwendet werden kann, sofern es die Minify-Konfiguration zulässt. Im JTL-Shop3 lässt die Konfiguration den Zugriff über den GET-Parameter "f" nicht zu, da in der config.php-Datei die Option "groupsOnly" aktiviert ist.

Details: https://groups.google.com/forum/#!msg/minify/cpN-ncKPFZE/kwYVpLMkfDwJ

Patch:

Bearbeiten Sie die Datei /includes/libs/minify/index.php.

Fügen Sie direkt unterhalb dem Kommentarblock am Anfang der Datei folgende 3 Zeilen ein:

if (isset($_GET['f'])) { 
$_GET['f'] = str_replace("\x00", '', (string)$_GET['f']);
}

Speichern Sie die Datei.


Kommentare