PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bigwareshop: Shopsystem-Anbieter ignoriert seit 6 Monaten Sicherheitslücken


venus
30.04.2012, 12:54
Bereits im Oktober 2011 kontaktierte Heiko Frenzel von Sicherheit-Online.org den Anbieter der Shopsoftware Bigwareshop. Diverse kritische Sicherheitslücken, mit denen man jegliche Webseiten übernehmen kann, die die Software installiert haben, wurden trotz mehrerer erfolgter Updates der in Hamburg ansässigen Bigware LTD. nicht behoben. Happy hacking dank SQLi, bSQLi, XSS et cetera?

Die Open-Source-Shopsoftware an sich ist kostenlos. Friedrich Koop von der Bigware LTD bietet aber Webhosting, einen kostenpflichtigen Installationsservice, eigene Seminare und Überprüfungen seiner Programme an. Zwar erhielt man diverse Anfragen von Frenzel per E-Mail und reagierte zunächst auch darauf. Behoben wurde die Lücke allerdings nicht. Das unter einer Gnu/GPL veröffentlichte Shopsystem wurde über 25.000 Mal heruntergeladen. Bislang ist aber unklar, wie viele Webseiten dieses System tatsächlich einsetzen und seit Monaten akut gefährdet sind, von Cyberkriminellen übernommen zu werden.

Die erste Anfrage von Sicherheit-Online.org wurde sogar herablassend beantwortet. Später wurde die Kommunikation von Seiten der Firma komplett eingestellt. Frenzel bat die Anbieter mehrfach um eine Kontrolle der eigenen Software, weil die veröffentlichten Sicherheitsupdates nicht dazu in der Lage waren, die Problematik komplett zu beheben. Statt die Bugs zu fixen, wurde der Hinweisgeber gebeten, seine negative Berichterstattung umgehend einzustellen. Trotz eines von Frenzel bei YouTube veröffentlichten Beweisvideos ([Link nur für registrierte und freigeschaltete Mitglieder sichtbar]) und diversen weiteren Sicherheitsupdates hat sich bis heute nichts an den offenen Lücken geändert, mit dessen Hilfe man Zugang zu den kompletten Datenbanken der betroffenen Portale erhalten kann.

Quelle gulli.com ([Link nur für registrierte und freigeschaltete Mitglieder sichtbar])