Mittwoch, den 11. Mai 2016 – Ich will mal wieder böse sein

Am Montag habe ich eine nette Mail von JTL bekommen. Sehr geehrter Herr Schäfer, heute haben wir die Versionen bla bla bla…. Okay – Ihr Jungs von JTL nur mal so zur Info: Ihr habt mir meinen Servicepartner Vertrag gekündigt und sämtliche Zugänge gesperrt. Selbst wenn ich wollte, ich habe keinen JTL-Shop 4 produktiv oder in einer Testumgebung am Laufen, also interessiert mich euer Sicherheitsupdate nicht die Bohne. Oder vielleicht doch….

Foto0036 (1024x768)

Lesen wir mal die Mail von JTL in Ruhe weiter:

Wichtig: Im Rahmen eines umfangreichen Security-Audits haben wir eine kritische Sicherheitslücke unserer Shop-Software entdeckt, die wir mit den Updates ebenfalls beheben. Daher empfehlen wir Ihnen, möglichst zeitnah die neuen Versionen zu installieren.

So so – umfangreiches Security-Audit für Shop 4 und dabei wurde eine kritische Sicherheitslücke entdeckt. Das haut mich ja glatt weg von den Socken. JTL führt also Sicherheitsüberprüfungen seiner Software durch. Auch nicht schlecht. Sorgt zumindestens für Vertrauen bei den Kunden. Aber wenn ich mich nicht irre, geisterte in den letzten Tagen ein Sicherheitslücke durch die Medien, die aktuell schon ausgenutzt wird. Mir ist da dunkel so, als wenn es da böse Bilder gibt, mit denen man die Kontrolle über eine Internetseite gewinnen kann. Da war doch was bei heise.de:

http://www.heise.de/security/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html

http://www.heise.de/security/meldung/Boese-Bilder-Akute-Angriffe-auf-Webseiten-ueber-ImageMagick-3200773.html

Mich laust der Affe. Da wird eine Sicherheitslücke in ImageMagick gefunden und kurze Zeit später findet auch JTL in seiner Shop-Software nach einem Security-Audit eine Sicherheitslücke. Wenn ich mich nicht irre, verwendet JTL-Shop 4 ImageMagick, wenn es auf dem Server eingerichtet ist. Und ich frage mich gerade, ob sich nicht die Sicherheitslücke dort befindet. Könnte ja sein. Das würde aber bedeuten, das es gar kein Securtiy-Audit gegeben hat, sondern nur einer dies bei Heise-Online gelesen hat und sich gedacht hat, upps das verwenden wir ja auch. Dann hat man mir aber in dieser Mail einen ziemlichen Bären aufgebunden. Würden die aber bei JTL nie machen, ihren Kunden einfach einen Bären aufbinden. Nein das glaube ich nicht.

Wenn jetzt also JTL schon Security-Audits durchführt, dann wird es sicherlich auch bei der Wawi Qualitätskontrollen geben und die kleinen ekelhaften Käferlein, die das schöne Wawi-Leben so schwer machen, sollten demnächst auch der Vergangenheit angehören. Also da kann ich es gar nicht verstehen, wenn die ganzen Online-Händler immer mit dem nächsten Update warten wollen. So nach dem Motto ich kann es mir nicht leisten, das hier was nicht geht. Also solche Äußerungen kann ich nun gar nicht nachvollziehen. Was soll den nicht gehen und JTL gibt sich doch solche Mühe die Fehler immer zeitnah zu beheben. Und schau Michael, wie viele schöne Updates JTL schon wieder herausgebracht hat. Ja, die haben aber auch ganz diskret ihre Fehlschüsse wieder vom Server genommen und gehofft das es keine Sau merkt.

Na dann mache ich mich mal an die Produktion von kleinen Käfern. Nein nicht solche wie sie in Wolfsburg vom Band gerollt sind. Und Ihr Jungs in Hückelhoven könnt euch den Screenshot Einrahmen lassen: Hallo, schaemi. Benachrichtigungen: 1 New Like received – Sie wurden aus folgendem Grund gesperrt: Es wurde keine Begründung abgegeben – Ende der Sperre: Nie – Also ich habe mir beim Lesen fast in die Hose gemacht – vor Lachen….

2016-05-11 17_17_29-forum

7 Gedanken zu „Mittwoch, den 11. Mai 2016 – Ich will mal wieder böse sein“

  1. Naja.. Jtl Shop rennt such mit der GDLib ohne ImageMagick. ImageMagick selbst kann also weniger der Grund sein, denn das hat mit JTL an sich nix zu tun, wird es doch extern aufgerufen. GGf. die Übergabe an ImageMagick könnte ein Problem darstellen. Aber wer weiss, was denen bei JTL so im Kopf rumschwirrt.

  2. Wenn Du dir das Installationsskript vom Shop genau ansiehst, wirst du feststellen, das bei der Installation abgefragt wird, ob ImageMagick auf dem Server bereit gestellt wird. Ist zwar nicht zwingend notwendig, wird aber von JTL empfohlen.

    Marc Völker hat den entscheidenden Hinweis geliefert. ImageMagick wird, sofern vorhanden, dazu genutzt die Bilder in das richtige Format zu bringen. Das geht offensichtlich auch ohne ImageMagick, aber mit soll es wohl schneller gehen.

    Die letzten Einträge in unserer Facebook-Gruppe verstärken gerade nur meinen Eindruck.

    Ich bin heute beim Domain-Umzug darauf gestoßen und habe mich etwas gewundert, als ich Shop 4 installiert habe (ich habe mal gelesen, was in der Installationsroutine steht!).

  3. Naja wenn ich eh schon Zitiert werde, kann ich auch hier mal meinen Senf dazu geben.
    ;)

    Naja fakt ist, es gab vor einiger Zeit einen Sicherlich einen Audit. Und fakt ist, es wurden eine menge Sicherheitslücken, auf welche ich nicht näher eingehen werde gefunden.

    Darauf hin wurden diese gefixt (wenn man mal Version 4.0.2 und 4.0.3 vergleicht) kann man sicher auch die eine oder andere Stelle im Source Code sehen. Und dies ist echt kein Hexenwerk.

    Sprich das es eine Sicherheitslücke in ImageMagick gibt, und JTL genau jetzt das Update mit den Fixes raus haut, ist eigentlich doch eher Zufall. Und keine “Wir verkaufen unser Update mal als Tollen fix für eben andere Lücke”

    1. Hallo Marc,

      und genau das mit dem Security-Audit bezweifle ich stark! Sorry, dann würden einige andere Dinge weit aus besser laufen, als die Vergangenheit gezeigt hat. JTL ist nun wirklich nicht dafür bekannt, dass es seine Produkte ausgiebigen Produkttests unterzieht oder gar ein richtiges Quatitätsmangenent hat. Ansonsten würden so einige Dinge erst gar nicht vorkommen.

      Netter Versuch Marc, aber ich glaube nicht, das bei JTL das Know-How vorhanden ist, solche Audits durchzuführen.

      Gruß Michael

  4. Gibt es denn keinen “update log” wo man sehen kann welche Verbesserungen / Anpassungen von JTL es gibt???
    Da könnte man ja sehen, was gefix wurde. Das wäre dann ein Qualitätsmerkmal und würde Seriös wirken (außer man vergleicht die beiden Versionen und würde keine wirklich relevanten änderungen finden :P aber wer nimmt sich schon die Zeit für sowas) ^^

  5. Michael.
    Also nein!
    Und deswegen gar nicht gut!

    Changelogs achja ist auch oft nicht alles drin, dazu sagen JTL Mitarbeiter selbst:

    “update bitte auf jeden fall erst mal, es landet auch nicht immer jede kleinigkeit im changelog”

    Beim den 3er Version geht auch ein vergleich gar nicht weil die ist mit IONCUBE verschlüsseld. ;)

  6. Dies war aber doch wirklich kein kleinigkeit also warum auch dan den vorschlag erst updaten ist mir ein?
    ( Kennt man den eigene updates beim JTL nicht vielleicht?)

    Weil selbst sagen die danach:
    “”Ich kann … Problem bei mir nachstellen und habe es intern mit maximaler Prio aufgenommen. Wir werden uns schnellstmöglich darum kümmern.””

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.