Es ist wieder soweit. Die Shop-Software xt:commerce ist wieder angreifbar. Da war doch schon mal etwas, und zwar vor etwa 1,5 Jahren. Damals hatte mein Hosting-Anbieter Alfahosting davor gewarnt, dass in der Software ein Sicherheitsfehler vorlag und die Shop-Betreiber unbedingt einen Patch installieren sollen. Nun gibt es wieder Probleme.
Nun sind es die Entwickler von xt:commerce selbst, die vor Problemen warnen, wie ich hier las. Es liegt eine Sicherheitslücke vor, mit der es möglich sein soll, SQL-Befehle einzuschleusen. Es ist zwar nicht viel bekannt, ob die Lücke aktiv genutzt wird. Aber die Warnung ist trotzdem ernst zu nehmen. Die Entwickler haben darum fehlerbereinigte Versionen ihrer Software zur Verfügung gestellt.
Es gibt nun also für xt:Commerce die aktuellen Service Packs mit den Versionsnummern 4.2.00, 4.1.10 und 4.1.00. Die Entwickler empfehlen, unbedingt zeitnah die Shop-Lösung zu aktualisieren. Was ist denn eigentlich die Gefahr, die entsteht, wenn xt:commerce so belassen wird, wie sie derzeit installiert ist, und sie nicht aktualisiert wird?
Kriminelle Angreifer können ohne die veröffentlichte Aktualisierung durch Vergleich einer verwundbaren und einer abgesicherten Version der PHP-Software für ihre Zwecke wertvolle Details über die SQL-Injection-Lücke herausfinden. Und darüber lassen sich dann schadhafte SQL-Befehle eingeschleust werden, eine so genannte SQL-Injection. Und dies könnte nicht nur zum Datendiebstahl führen, so etwas könnte auch wunderbar den Shop zum Zusammenbruch bringen.
Wenigstens wurde die Lücke nicht durch andere festgestellt. Die Macher von xt:commerce sind selbst auf die Lücke gestoßen, als weitere sicherheitsrelevante Aspekte überprüft wurden. Das geschah nach der Veröffentlichung des letzten Updates zur Version 4.1.00. Es klingt so, als sind die Entwickler mehr zufällig auf die Lücke gestoßen.
Wenn Sie also die Shopsoftware xt:commerce nutzen, weil sie damit einen Shop betreiben, nehmen Sie die Warnung bitte ernst und aktualisieren ihre Installation so schnell, wie es möglich ist. Es wäre fahrlässig, die Warnung in den Wind zu schlagen. Tun Sie sich einen Gefallen und machen das Update.
Es ist ja nun nicht das erste mal. Immer wieder gerät xt in Verruf durch solche Meldungen. Das war damals so und ist heute leider noch nicht anders. Ich rate meinen Kunden und Partnern entschieden vom verwenden dieser Software ab. Es gibt einfach auch viel schlankere und aufgeräumtere Lösungen.
Ich habe auch jahrelang xt genutzt und hab mir ein Bild machen können. Da geht aber noch einiges. Also nichts neues eigentlich wenn so eine Meldung mal wieder einschlägt. Schade drum.