Oxid Sicherheitslücke in der Enterprise Edition: Angreifer können Ihre Shop-Server komplett lahmlegen

Wie der Developer Chanel "Oxidforge" von Oxid selbst berichtet, können Angreifer aus dem Netz durch das Aufrufen von speziell abgestimmten URLs, die Shop-Server der EE von Oxid komplett zum Stillstand (und somit zur Inaktivität des gesamten Shops) bringen, falls die High Performance Option aktiviert ist und Varnish benutzt wird.

Uli Häfele Foto

Uli Häfele

Business Consultant

Die Sicherheitslücke mit dem CVE Identifier "CVE-2018-5763" wurde mittlerweile mit einem Patch-Release geschlossen. Für Shopbetreiber der Enterprise Edition gilt hier wie auch bei allen anderen Oxid Versionen:

Aktualisieren Sie Ihren Oxid-Onlineshop auf die neuste Version, um diese Sicherheitslücke zu schließen oder wenden Sie in diesem Fall einen Workaround an.

Dazu fügen Sie folgenden Fix zur Varnish default.vcl state - vlc_recv:

if (req.esi_level > 1 && req.url !~ "&cl=oxwarticlebox") {

    return (synth(405, "Not allowed."));

}

Dadurch wird verhindert, dass Widgets in Widgets angezeigt werden, außer die der oxwarticlebox, das Oxid im oxwarticlebox-Widget nutzt. Dabei sollten Sie sichergehen, dass Sie keine anderen Widgets in Widgets nutzen bzw. das kein Widget einen ESI include ausgibt.

Wenn Sie Hilfe beim Aktualisieren Ihres Oxidshops benötigen - unsere Experten helfen Ihnen hierbei gerne weiter!

Support anfordern