Sicherheitswarnung Zen-Cart

29. Juni 2009

Soeben erreichte uns folgende eMail vom Zen-Cart:

Im Adminbereich von Zen-Cart wurde eine schwerwiegende Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, Zugriff auf den Adminbereich zu bekommen, Code einzuschleusen oder andere Zugriffe auf den Server zu erhalten.
Betroffen sind alle Zen-Cart Versionen (1.3.8 und älter).
Seit 19. Juni 2009 ist ein Patch verfügbar, der diese Sicherheitslücke schließt.

Angriffe über diese Sicherheitslücke sind nur erfolgreich, wenn das admin Verzeichnis nicht umbenannt wurde.
Daher nochmals der dringende Hinweis:
Das admin Verzeichnis einer Zen-Cart Installation sollte immer umbenannt werden!
Eine Anleitung dazu gibt es hier:
http://www.zen-cart.at/zcvb/forum/vbglossar.php?do=showentry&catid=5&id=6

Auch bei umbenanntem admin Verzeichnis sollte aber der Patch unbedingt eingespielt werden.

Spielen Sie also umgehend den Patch ein, nachdem Sie das admin Verzeichnis umbenannt haben.
Download des Patches und weitere Informationen auf:
http://www.zen-cart.at/zcvb/forum/showthread.php?p=35340

Der Patch wurde in allen Zen-Cart 1.3x Versionen getestet.
Zen-Cart 1.2x wird nicht mehr supportet. Wer noch immer 1.2.x einsetzt, sollte daher spätestens jetzt auf 1.3.8 updaten!

Hier nochmals die nötigen Schritte:

1) Benennen Sie das admin Verzeichnis um!
Eine Anleitung dazu finden Sie hier:
http://www.zen-cart.at/zcvb/forum/vbglossar.php?do=showentry&catid=5&id=6

2) Spielen Sie danach den Patch ein!
Den Patch und die Anleitung dazu finden Sie hier:
http://www.zen-cart.at/zcvb/forum/showthread.php?p=35340

3) Um immer über aktuelle Sicherheitswarnungen und Updates imformiert zu sein, abonnieren Sie die Emailbenachrichtigung über neue Beiträge im Forum „News und Ankündigungen“. Hier veröffentlichen wir immer solche sicherheitsrelevanten Informationen.
Um dieses Forum zu abonnieren, clicken Sie einfach auf folgenden Link:
http://www.zen-cart.at/zcvb/forum/subscription.php?do=addsubscription&f=8

Ebenfalls interessant

PCI DSS 4.0 - Was du jetzt wissen musst

Ab dem 31. März 2025 wird die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) 4.0 für alle…

Anpassung des Nextcloud-Updatezyklus

In den letzten Monaten haben wir festgestellt, dass die Bereitstellung der jeweils neuesten Nextcloud-Version immer wieder zu unerwarteten Problemen geführt…

Information zu CVE-2024-6387 / RegreSSHion

Wir möchten Euch darüber informieren, dass wir heute eine Sicherheitslücke mit der Bezeichnung CVE-2024-6387 auf all unseren Servern identifiziert und…