JTL Software hat am gestrigen Donnerstag, 04.11.2021, einen Patch bezüglich einer Sicherheitslücke für den JTL Shop 4 veröffentlicht. Dieser Patch verhindert eine SQL Injection, die ansonsten dazu führt, dass Befehle auf die Datenbank abgegeben werden können. Unser Partner zitro.hosting und wir haben gezielt die Angriffswege analysiert und konnten die ersten Angriffe bereits auf den 29.10 datieren. Der Ablauf des Hacks Über die SQL-Injection wird ein Admin-Konto im Backend angelegt und gleichzeitig die Admin-Benutzer ausgelesen Im Backend wird das SMTP-Kennwort für den E-Mailversand und das Sync-Passwort für die Anbindung der Wawi an den Shop ausgelesen Es werden in dem Bereich „Eigene Seiten“ Einstellungen vorgenommen, die wir noch analysieren Es wird über den Bereich „Banner“ ein PHP-Skript hochgeladen Über das PHP-Skript wird die Shop-Config inkl. DB-Zugangsdaten und Blowfish-Key entwendet Über das PHP-Skript wird die Kundentabelle (tKunde) ausgelesen Löschen des PHP-Skripts und löschen des Admin-Benutzers aus der Datenbank Handlungsemfpehlung Grundsätzlich sollten die Shops aktualisiert werden, mindestens auf Version 4.06 Build 17 sowie dem zugehörigen Patch. JTL arbeitet ebenfalls an einem neuen Update auf die Version 4.06 Build 18. Diese ist aber zum jetzigen Zeitpunkt noch nicht fertig gestellt. Bei JTL Shop 5 Kunden konnten wir die Angriffe ebenfalls erkennen, diese scheinen aber nicht erfolgreich gewesen zu sein. Sie sollten nach dem erfolgten Absichern des Shops sämtliche Kennwörter ändern, um hier etwaige Zugriffe zu ändern. Hierzu gehören die Datenbankkennwörter, Backendbenutzer, Wawi-Sync Kennwort und das betroffene Email-Kennwort. Weiterhin sollten Sie mit Ihrem Datenschutzbeauftragten in Kontakt treten, da vermutlich eine DSGVO-Meldung erfolgen muss. Bei unserer Aussage handelt es sich um unsere Einschätzung und ist keine rechtlich bindende Vorgehensweise. PATCH DOWNLOAD FÜR JTL SHOP 4.06 BUILD 17 The post Kritische Sicherheitslücke in JTL Shop 4 und älter appeared first on bbfdesign.de.
Update: 16.12.2021 Das System enaio® ist weiterhin grundsätzlich sicher. Die Fremdkomponente Elasticsearch der Firma Intrafind weist jedoch nach aktueller Risikobewertung eine Sicherheitslücke auf und muss demnach aktualisiert werden. Dies gilt für unsere
zum Artikel gehenHerzlichen Glückwunsch, lieber Biber & Butzemann Verlag, zum neuen Online-Shop! Jetzt könnt ihr eure Lieblings-Ferienlektüren noch leichter, bequemer, schneller bestellen. Schaut doch mal vorbei: Biber & Butzemann-Online-Shop Der Beitrag Herzlic
zum Artikel gehenJuhu, es ist so weit! Wir stecken in den letzten Zügen zur Veröffentlichung von unserem neuen Bow-Shop. Basierend auf Shopware 6 erreichen wir eine bedeutende Verbesserung und bieten zukünftig ein ansprechenderes Einkaufserlebnis. Um den neuen Shop vollst
zum Artikel gehenInterview mit Sabine Keilbach und Carmelina Calabrese Das Gästejournal hat mit dem Team vom Thermarium-Shop gesprochen.
zum Artikel gehenAb sofort findest du bei uns auch feine Sachen von Crankbrothers. Schau gerne vorbei, wir freuen uns auf deinen Besuch! Der Beitrag Neu im Shop Crankbrothers erschien zuerst auf bike-n-fun.
zum Artikel gehen