Session Fixation in osCommerce und xt:Commerce
Es wird von eine „Session Fixation“-Schwachstelle in den Shopsystemen von osCommerce und xt:Commerce berichtet.
Falls schnell Hilfe benötigt wird, bevor Schaden durch diese Schwachstelle entsteht, empfehle ich das Einbinden der SSEQ-LIB Bibliothek. Dadurch wird die Schwachstelle entschärft bis Abhilfe in Form eines Patches angeboten und eingespielt ist.
SSEQ-LIB auf Server einrichten
osCommerce schützen
Editiere die Datei „application_top.php“ aus dem Verzeichnis „includes“. Ändere diese wie folgt:
<br />
<?php
/* [...] */
// set the level of error reporting
error_reporting(E_ALL & ~E_NOTICE);
/* HIER SSEQ-LIB EINFÜGEN */
include_once('sseq-lib/seq_lib.php');
// check if register_globals is enabled.
/* [...] */
?><br />
Mehr ist nicht nötig. Die Änderung bei xt:Commerce sollte ähnlich sein (ich habe hier leider keine Version zum Testen). Jetzt kann keine „Session Fixation“ mehr durchgeführt werden, da SSEQ-LIB automatisch die Session-ID bei jeder Verwendung ändert. Die durch den Angreifer vorgegebene Session-ID ist also gleich nach dem ersten Klick wieder ungültig und gibt ihm keinen Zugang auf die Nutzerdaten.
die standardeinstellungen dieses paketes funzten nur mit der standardkonfiguration von osc/xtc d. h. suchmachinienfreundliche urls mit dem „buy_now“- button gehen nur mit einer kleinen modifikation in der /includes/classes/product.php
ca. ab zeile: 351
Security- SSEQ- Patch
[CODE]
return ‚‚.xtc_image_button(‚button_buy_now.gif‘, TEXT_BUY.$name.TEXT_NOW).‘‚;
[/CODE]
ersetzen:
[CODE]
return ‚‚.xtc_image_button(‚button_buy_now.gif‘, TEXT_BUY.$name.TEXT_NOW).‘‚;
[/CODE]
ist nicht die schönste lösung aber geht ;-)
gruß
andré