Vergangene Woche hat Magento wieder ein Sicherheitsupdate veröffentlicht, welches einige schwere Sicherheitslücken schließt. Das Magento Sicherheitsupdate SUPEE-6482 wurde am 04. August 2015 veröffentlicht. Betroffen sind alle Versionen von Magento Community Edition 1.9.2.0 und kleiner. Bei der Enterprise-Edition sind nur die Versionen größer 1.14.2.1 von der aktuellen Sicherheitslücke nicht betroffen. Gleichzeitig wurde Magento CE 1.9.2.1 bereitgestellt welche den Patch SUPEE-6482 bereits beinhaltet.
Ältere Magento-Versionen werden nicht mehr unterstützt
Der Patch steht für Magento Community Edition ab Version 1.4 und Magento Enterprise Edition 1.7 zur Verfügung. Für ältere Magento Installationen ist der Patch nicht verfügbar. Auch deshalb raten wir dringend dazu auf eine aktuelle Magento Version zu updaten.
Patch schließt 4 Sicherheitslücken in Magento
Der Patch SUPEE 6482 schließt vier Sicherheitslücken in Magento welche bereits jeweils für sich alleine schon als sehr kritisch zu betrachten sind:
- Cross-site Scripting Using Unvalidated Headers
- Autoloaded File Inclusion in Magento SOAP API
- XSS in Gift Registry Search
- SSRF Vulnerability in WSDL File
Dadurch kann eine bestimmte Serverkonfiguration beispielsweise dazu führen, dass über den Magento-Cache ein beliebiger HTML oder Java Script-Code eingeschleust wird. Aktive Sessions können manipuliert werden, um gefälschte Zahlungsdaten einzutragen, Kreditkartendaten abzufischen oder integrierte Bankkonten und PayPal zu kapern. Außerdem, können sensible Kundendaten ausgelesen werden.
Eine weitere Lücke in der SOAP-Schnittstelle ermöglicht es Hackern durch falsche Validierung in Kombination mit bestimmten PHP-Versionen und Serverkonfigurationen, Schadcode einzuschleusen.
Dies sind nur zwei von mehreren Szenarien, wie Magento-Shops von diesen Sicherheitslücken betroffen sein können.
Installation dringend empfohlen
Auch wenn noch keine Schadensfälle bekannt wurden, rät Magento dringend zur Installation des Security-Patch SUPEE 6482. Die Installation des Patches Magento SUPEE-6482 kann losgelöst von anderen Magento SUPEE Sicherheitsupdates installiert werden.
Weitere Infos zum SUPEE-6482 Sicherheitspatch und den geschlossenen Sicherheitslücken finden Sie auf der Webseite von Magento.
Hinweis für CYBERDAY Magento-Kunden
Zum Schutz unserer Kunden, deren Daten und Infrastruktur nehmen wir solche Patches proaktiv vor. So können sich die Händler auf die Tätigkeit konzentrieren, auf die es wirklich ankommt: auf das Verkaufen!
Gerne unterstützen wir auch Sie, beim optimalen Schutz Ihres Magento-Onlineshops. Sprechen Sie uns einfach an. Wir stehen für ein unverbindliches Erstgespräch gerne für Sie bereit.
Telefon: 089 23 23 92 94 0
Keine Angst vor Hacker-Angriffen auf Magento-Shops
Neben unserem proaktiven Schutz, bieten wir mit unserem kostenlosen Praxisratgeber „DDoS-Attacken – keine Panik, sofort reagieren“ eine umfangreiche Anleitung, wie man sich wirkungsvoll vor Hacker-Angriffen schützt und wie man im unvorbereiteten Fall mit Sofortmaßnahmen gegensteuern kann.
Links:
Dieser Beitrag wurde in folgenden Artikeln erwähnt: