Security Update vom 24.02.2005

Security Update vom 24.02.2005
24. Februar 2005 20:14
Hallo zusammen,

zuerst vorneweg: Es ist nichts schlimmes passiert!

Wie Ihr alle wisst, liegt uns Sicherheit sehr am Herzen, weshalb wir uns sofort ins Zeug legen, sobald etwas sicherheitsrelevantes im PhPepperShop entdeckt wird.

Beschreibung
Wir haben heute eine Mitteilung erhalten, dass man im PhPepperShop SQL-Injection betreiben kann, dies, indem man via GET oder POST anstatt Zahlenwerte SQL-Kommandos eingibt. Der PhPepperShop hängt diese Werte dann brav an das anstehende SQL-Statement, welches dann via DB-Wrapper auf der Datenbank ausgeführt wird. Das Problem hierbei ist, dass man auf diese Weise maliziösen SQL-Code auf der Shopdatenbank ausführen kann.

Kein Exploit
Nach längeren Tests, konnten wir aber keinen Exploit erarbeiten, so dass dieses Security-Problem als nicht kritisch eingestuft wurde. Man kann z.B. keine Kundendaten ausspähen, weil die durch die SQL-Injection ausgeführte zusätzliche Query (falls man das schafft), ihre Daten durch den DB-Wrapper schleusen muss. Hierbei werden aber nur dediziert angeforderte Daten weitergereicht, was bei via Injection angefragten Daten natürlich misslingt.

...nur die Nummern
Der Problemfall ist nur auf nummerische Daten anwendbar, da textbasierte Daten der Datenbank immer in Hochkommata eingeschlossen übergeben werden. Damit man nicht einfach ein Hochkomma mehr angeben kann, werden alls Strings via addslashes gefiltert, so dass man den Textblock des SQL-Statements nicht unterbrechen kann.

Sicher ist sicher(er)
Nicht überprüfte Daten sind immer schlecht und deshalb haben wir vorsorglich einen Patch erstellt, der bekannte Zahlenwerte künftig in ihrem Wertebereich einschränkt.

Bitte applizieren
Wir haben den Hotfix so einfach wie möglich gehalten. Man kann ihn unter der Downloadseite beziehen und muss danach nur die darin enthaltene Datei ersetzen, mehr ist nicht zu tun.

Für alle aktuellen Versionen
Der Hotfix ist für alle aktuellen PhPepperShop Versionen (1.3.001, 1.4 SP1, 1.5 SP1) erstellt worden. Weiter wurden alle Pakete, welche heruntergeladen werden können, aktualisiert. Wer den PhPepperShop nach 20:00h (MEZ) des 24.02.2005 herunterlädt, muss den Hotfix nicht mehr applizieren.

Gruss

José



Nachricht bearbeitet (02.06.05 11:23)

=====================
Entwickler PepperShop
=====================
In diesem Forum dürfen leider nur registrierte Teilnehmer schreiben.

Klicken Sie hier, um sich einzuloggen