xt:Commerce veröffentlicht Sicherheitsupdate
Für die Versionen 4.1.00, 4.1.10 und 4.2.00 finden sich seit heute Servicepacks auf der xt:Commerce Website zum Download. Da die Service-Packs verschiedene (mögliche) MySQL-Injektion-Angriffe auf die oben genannten Versionen vereiteln empfehlen wir dringend die Pakete zu installieren.
[…] im Rahmen des Sicherheitspatches, der vor einigen Wochen für die Version 4.1.00 veröffentlicht wurde, haben wir uns entschieden, unsere Software auf weitere sicherheitsrelevante Aspekte zu überprüfen. Bei diesen Prüfungen wurden leider Stellen im System identifiziert, die eine SQL-Injection theoretisch zulassen.
Wir haben umgehend Initiative ergriffen und beschlossen, alle SQL-Abfragen der Software auf eine andere Technik der Abfrage abzuändern (Prepared Statements). Diese Technik verhindert eine SQL-Injection bei Funktionalitäten des Shops und bei Reseller-Erweiterungen. Bisher liegen uns keine Hinweise vor, dass diese SQL-Injection-Lücke tatsächlich jemals ausgenutzt wurde.[…]
UNSERE EMPFEHLUNG:
Für xt:Commerce 4.1.00 empfehlen wir ein direktes Update auf die Version 4.1.10 SP1 oder 4.2.00 SP1. Mit der in Version 4.1.10 integrierten Plugin-Update-Funktion lassen sich die Plugin-Updates sicherer und schneller durchführen.
