Von Gambio

Kritische Sicherheitslücke in Webshops entdeckt

Ronald Wiltscheck widmet sich bei ChannelPartner schwerpunktmäßig den Themen Software, KI, Security und IoT. Außerdem treibt er das Event-Geschäft bei IDG voran. Er hat Physik an der Technischen Universität München studiert und am Max-Planck-Institut für Biochemie promoviert. Im Internet ist er bereits seit 1989 unterwegs.
Softwareentwickler beim Shopsystem Gambio sind bei einem umfangreichen Security-Check auf eine kritische Sicherheitslücke gestoßen, welche nach den Erkenntnissen der Softwerker aus Bremen viele tausend Online-Shops betrifft.

Über diese Sicherheitslücke ist es möglich, dass Dritte Zugang zur Administration des Shops erlangen können und somit praktisch die Kontrolle über den gesamten Shop inkl. der Kunden- und Bestelldaten hätten.

Betroffen sind nach dem Kenntnisstand von Gambio xt-commerce Shops (getestet in Version 3.04 SP2.1) sowie darauf aufbauende Systeme, etw "modified" und eben "Gambio". In der aktuellen Gambio-Version ist die Sicherheitslücke bereits geschlossen. Die Entwickler von xt-commerce und modified wurden von Gambio bereits benachrichtigt.

Gambio stuft diese Sicherheitslücke als sehr kritisch ein und hat bereits all unsere Gambio-Shopbetreiber darüber informiert und ihnen einen Patch zur Verfügung gestellt. Auch für xt-commerce und modified ist dieser Patch unter http://www.gambio.de/security-patch-dez2013-div.html verfügbar.

Da die Sicherheitsücke im Rahmen der Gambio-internne Tests entdeckt wurde, geht der Hersteller davon aus, dass sie bislang noch nicht aktiv ausgenutzt wurde. Mit dem Bekanntwerden könnte sich dies jedoch nun ändern, weshalb betroffene Shopbetreiber diese Lücke nun schnellstmöglich schließen sollten, so Mario Mario Maeles, bei Gambio für das Partner-Management verantwortlich.

Um möglichst viele Shopbetreiber zu erreichen, hat sich der Hersteller daher zur Bekanntgabe der Sicherheitslücke entschlossen.

Zur Startseite