Ein Leck in der Shopsoftware osCommerce macht momentan Online-Händler zu einem leichten Opfer für Hackerangriffe. Davor warnt das Bundesministerium für Sicherheit und Informationstechnik (BSI). Betroffen sind Händler, die osCommerce älter als Version 2.3 im Einsatz haben.
So machen Sie Ihren osCommerce-Shop sicher.
Shopbetreiber, die osCommerce einsetzen, sollten schnell handeln, wenn sie nicht das Opfer eines gefährlichen Hackerangriffs werden wollen. Dazu rät das BSI in einer aktuellen Pressemeldung.
Nach Erkenntnissen des BSI sind inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen ausgenutzten Sicherheitslücken wurden bereits in der vom Hersteller im November 2010 veröffentlichten Version osCommerce 2.3 geschlossen. Viele Online-Shops setzen jedoch immer noch ältere Versionen ein.
Schnellhilfe für Shopbetreiber
Die Empfehlung des BSI ist, ein Update auf die Version 2.3.1 durchzuführen. Das IT-Magazin Heise weißt jedoch darauf hin, dass ein solches Update in vielen Fällen bedeuten würde, den Shop neu aufsetzen zu müssen.
Im Wesentlichen läuft es in vielen Fällen darauf hinaus, den Shop komplett neu aufzusetzen. Selbst das Datenbankformat hat sich geändert, so dass man einen Dump einer alten Version nicht ohne Handarbeit übernehmen kann.
Deshalb hat die Heise-Redaktion eine Schnellhilfe für osCommerce-Admins erstellt, mit deren Hilfe der Shopbetreiber überprüfen kann, ob sein Shop-System anfällig ist. Zudem kann er es auf eine mögliche Infektion kontrollieren und provisorisch absichern.
Wegen der Sicherheit im Admin-Bereich:
Wer einen eigenen Server betreibt und auf diesem einen Shop betreibt, und als Server-Software Apache mit OpenSSL verwendet, und bei einem Anbieter ein Serverzertifikat ausgestellt hat und eventuell dort ein Client-Zertifikat ausstellen kann, der kann bei Apache Verzeichnisse mit einer sogenannten Client-Authentifizierung ausstatten, dass heißt, der Besitzer des Client-Zertifikates hat die Berechtigung sich beispielsweise im Verzeichnis /admin zu verbinden.
Das Client-Zertifikat muss sich im Browser befinden und wenn das Client-Zertifikat mit dem Serverzertifikat übereinstimmt, dann wird damit vom Browser eine gültige Verbindung zum Server aufgebaut, wer kein gültiges Zertifikat hat, baut der Webserver zum Browser erst gar keine Verbindung auf.
Kurzfassung geschütztes /admin Verzeichnis:
* gültiges Client-Zertifikat im Browser: Verbindung wird zum Server aufgebaut
* ungültiges oder nicht vorhandenes Client-Zertifikat im Browser: Verbindung wird vom Server abgewiesen
Hinweis: Der Shop muss mit SSL aufgerufen sein (Port 443 bzw. https://) damit das Client-Zertifikat funktioniert.
Es ist trotzdem wichtig, den Server und auch die Shop-Software aktuell zu halten.
Dies soll keine Werbung sein, aber CAcert.org bietet kostenlos Zertifikate für Server- wie auch Client-Zertifikate an. Das System arbeitet nach Punkten, von daher gibt es am Anfang nur einen Eintrag für den Common Name (CN = Domäne), ab bestimmten Punkten können auch mehr Informationen in das Zertifikat aufgenommen werden. Leider muss der Root-Schlüssel manuell im Browser importiert werden, da der Anbieter mit den Schlüssel noch in (fast) keinem Browser standartmäßig von Haus aus, vorhanden ist.
Weitere Informationen gibt es bei CAcert.org