SysEleven unterstützt Hersteller bei OXID Sicherheitslücke

Die OXID eSales AG als Herstellerin der gleichnamigen und weitverbreiteten Shopsoftware kam vor kurzem auf uns zu, um Unterstützung beim Umgang mit einer neu entdeckten Sicherheitslücke zu erhalten. Wie auch schon bei der letzten größeren OXID Sicherheitslücke war unser Security-Team natürlich gern bereit, unseren Partner auch dieses Mal wieder tatkräftig zu unterstützen.

Nachdem unser Security-Team die Details der potentiellen Lücke erhalten hatte, wurden im ersten Schritt mehrere Testinstallationen der Software mit unterschiedlichen Versionsständen eingerichtet, anhand derer ein funktionierender Proof of Concept erarbeitet werden konnte. Darüber hinaus wurde geprüft, welche temporären Gegenmaßnahmen die nun reproduzierbare Schwachstelle eindämmen würden. Das Ergebnis ist eine kurze ModRewrite-Regel, die das Schlimmste verhindern können sollte, bis die neu veröffentlichte OXID-Version 6.0.5 oder 6.1.4 eingespielt worden ist. Diesen vorläufigen Schutz haben die Mitarbeiter:innen unseres Operations-Teams im Anschluss bei unseren eigenen OXID-Kunden ausgerollt.

 

Auf der Webseite zur aktuellen Sicherheitslücke findet sich derzeit eine abgewandelte Form der von uns bereitgestellten ModRewrite-Regel. Wir würden jedoch an dieser Stelle zur von uns erarbeiteten Variante raten, da diese nach internen Tests zu weniger Overblocking führt:

 

RewriteCond %{QUERY_STRING} (^|&)sorting=[^&]*[^a-z&] [NC]
RewriteRule ^ - [F]

 

 

Wir freuen uns über die vertrauensvolle Zusammenarbeit sowie darüber, einen kleinen Beitrag zur Verbesserung der Sicherheit von OXID-Webshops im Internet geleistet zu haben.

Sollten Sie ebenfalls Unterstützung beim Betrieb ihres OXID-Webshops benötigen, wenden Sie sich gern jederzeit an sales@syseleven.de oder rufen Sie uns einfach an unter der 030-233-2012-20.

Share: