PUBLIKATIONEN

Neuer Security-Patch: Magento rät dringend zur Installation

Magento hat mit „SUPEE-6285“ einen neuen Security-Patch veröffentlicht, den Shop-Betreiber, die die Magento-Versionen bis 1.9.1.1 nutzen, unverzüglich installieren sollten. Die aktuellste Version 1.9.2.0 beinhaltet den Security-Patch bereits.

Erst zwei Monate ist es her, dass Magento Alarm schlagen musste: Durch mehrere aufgedeckte Sicherheitslücken war es Hackern möglich geworden, in fremden Shop-Systemen neue Benutzer mit Administratorrechten anzulegen und so Zugriff auf sämtliche hinterlegten Kunden- und Bezahldaten zu bekommen. Bis zu 200.000 Shops galten damals als akut gefährdet.

magento-securityAm 7. Juli war es wieder soweit. Magento verschickte an alle Webshopbetreiber, die das Shop-System nutzen, eine Mitteilung mit dem folgenden Inhalt: „New Magento Security Patch (SUPEE-6285) – Install Immediately“.

Schaut man sich den Changelog im Detail an, kann man sich dieser Magento-Empfehlung nur anschließen. Mit dem Patch werden gleich acht sicherheitsrelevante Lücken geschlossen werden – eine wird sogar als „critical“ eingestuft. Im Einzelnen sind folgende Sicherheitslücken aufgeführt, die mit dem Update geschlossen werden:

  • Kundeninformationen bei Bestellungen können ausgelesen werden.
  • Mögliche Installation von Schadmodulen über den Magento Connect Manager beim Anklicken von präparierten Links.
  • Versand von Phishing-Mails über die Wunschliste-Funktion
  • Hacker könnten über JavaScript Cookie-Informationen auslesen und so vom System fälschlicherweise als Kunde identifiziert werden.
  • Aufruf von Magento Connect – Webadressen können Informationen zum Installationspfad eines Shops enthalten.
  • Durch JavaScript können Benutzerkonten mit Administratorenrechten übernommen werden.
  • Kunden können Logfiles anderer Kunden auf dem Server auslesen, da die Zugriffsrechte nicht ausreichend beschränkt sind.
  • In den RSS-Feed für neue Bestellungen können falsche Informationen eingefügt werden.

Noch keine Schadensfälle bekannt

Online-Händler, die Magento in einer Version bis 1.9.1.1 nutzen, sollten das Sicherheits-Update sofort installieren. Bislang sind zwar keine Fälle bekannt, in denen Shops durch die beschriebenen Sicherheitslücken von Hackern angegriffen wurden, doch das dürfte sich in absehbarer Zeit ändern. Erfahrungsgemäß dauert es nach Bekanntgabe solcher Sicherheitslücken und dem Bereitstellen von Updates kaum mehr als 48 Stunden, bis die ersten Angriffe verzeichnet werden.

Shop-Betreiber, die die aktuellste Magento-Version 1.9.2.0 nutzen, müssen nicht selbst aktiv werden. Magento hat in der Version, die genauso wie der Security-Patch am 8. Juli veröffentlicht wurde, die Sicherheitslücken bereits geschlossen.

Im Gegensatz zu den letzten großen Sicherheitslücken in der Shop-Software, die im Mai mit den Patches SUPEE-5344 und SUPEE-4829 geschlossen wurden, hat das Krisenmanagement von Magento dieses Mal funktioniert. So wurden damals zwar ebenfalls nach Entdeckung der Lücken sehr zeitnah Sicherheits-Patches bereit gestellt – diese wurden jedoch nicht direkt in die Neuinstallationen integriert. Shop-Betreiber, die von der Sicherheitsbedrohung bislang noch nichts mitbekommen und ihre Software nicht aktualisiert hatten, liefen so Gefahr, dass ihr Shop von Hackern komplett übernommen werden konnte.

Magento-Agentur nimmt Patches proaktiv vor

Aus den Fehlern der Vergangenheit hat Magento jetzt also gelernt. Trotzdem gilt nach wie vor, dass Online-Händler, deren Shops auf einer Magento Community-Edition laufen, ständig auf Hinweise achten müssen, in denen die Installation von Sicherheits-Patches empfohlen wird. Wer diese Meldungen verpasst oder ignoriert, riskiert, dass sein Shop Opfer von Hacker-Angriffen werden könnte.

Zum Schutz unserer Kunden, deren Daten und Infrastruktur nehmen wir solche Patches proaktiv vor. So können sich die Händler auf die Tätigkeit konzentrieren, auf die es wirklich ankommt: auf das Verkaufen!

Gerne unterstützen wir auch Sie, beim optimalen Schutz Ihres Magento-Onlineshops. Sprechen Sie uns einfach an.

Links:

Dieser Beitrag wurde in folgenden Artikeln erwähnt:

Schreibe einen Kommentar

Ähnliche Artikel
Kontakt