Schwachstelle in der E-Commerce Shopsoftware OXID

Eine aktuelle Schwachstelle in allen OXID eShop Plattformen des Freiburger E-Commerce Anbieters OXID eSales AG ermöglicht es, über Denial of Service Angriffe einen Overflow der Shop-Datenbanken zu erzeugen und diese somit funktionsunfähig zu machen.

Dieser Angriff kann nur ausgeführt werden, wenn über den Administrationsbereich erlaubt wird, leere Kategorien im Shopfrontend darzustellen.

Die Schwachstelle CVE-2017-14993 wurde vom internen OXID Professional Services Team erkannt und mit einem CVS-Score von 8.1 bewertet. Weitere Informationen zu der Schwachstelle befinden sich im Security Bulletin 2017-002 des Unternehmens unter https://oxidforge.org/en/security-bulletin-2017-002.html sowie in den zugehörigen FAQ unter https://oxidforge.org/en/faq-oxid-security-bulletin-2017-002.html.

Die Schwachstelle wurde in unterstützte Produkt-Versionen bereits behoben, die Updates stehen auf der Developer-Plattform des Unternehmens unter https://oxidforge.org/de/downloads bereit. Unternehmen, die die Shopsoftware-Lösungen von OXID einsetzen, wird dringend empfohlen, die bereitstehenden Updates oder (falls ein Update nicht sofort möglich ist) Hotfixes schnellstmöglich zu installieren. Gewöhnlich ist nach Veröffentlichung eines Security Bulletins zu der Schwachstelle damit zu rechnen, dass Angreifer diese Schwachstelle nutzen, um gezielte Cyberattacken gegen Unternehmen auszuführen, die diese Updates nicht zeitnah installiert haben.

  • OXID eSales AG Security Bulletin #2017-002
  • CVE Identifier: CVE-2017-14993
  • CVSS Score: 8.1
  • Release Date: November 2nd 2017


Plattformen:

Alle OXID eShop Editionen und Versionen sind betroffen
In den folgenden Versionen wurde das Problem bereits behoben:

  • OXID eShop Enterprise Edition 5.2.11
  • OXID eShop Enterprise Edition 5.3.6
  • OXID eShop Enterprise Edition 6 RC3
  • OXID eShop Professional Edition 4.9.11
  • OXID eShop Professional Edition 4.10.6
  • OXID eShop Professional Edition 6 RC3
  • OXID eShop Community Edition 4.9.11
  • OXID eShop Community Edition 4.10.6
  • OXID eShop Community Edition 6 RC3


Hotfixes für folgende Versionen und Editionen stehen bereit:

  • OXID eShop Enterprise Edition 5.0.x | 5.1.x | 5.2.x | 5.3.x
  • OXID eShop Professionsl Edition 4.7.x | 4.8.x | 4.9.x | 4.10.x
  • OXID eShop Community Edition 4.7.x | 4.8.x | 4.9.x | 4.10.x


Bleiben Sie “Up-to-Date” über die Seiten von oxidforge.org:
Download der Updates: https://oxidforge.org/de/downloads
Feeds: http://oxidforge.org/de/shop/development-security/feed
Webseite: https://oxidforge.org/de/

Über OXID eSales:
Die OXID eSales AG gehört zu den führenden Anbietern von E-Commerce-Lösungen und Dienstleistungen. Auf Basis der OXID-Plattform lassen sich skalierbare, modulare und hochwertige Webshops in allen Branchen, für B2B ebenso wie für B2C, aufsetzen und effizient betreiben. Weitere Informationen: OXID eSales AG, Bertoldstraße 48, D-79098 Freiburg, E-Mail: security@oxid-esales.com, Web: www.oxid-esales.com