PUBLIKATIONEN

Magento Patch SUPEE-7405 – Update dringend empfohlen!

agento-patchMagento hat erneut sein Opensource-Shopsystem abgesichert und Ende Januar ein wichtiges Sicherheitsupdate veröffentlicht, welches insgesamt 20 „Stored-Cross-Site-Scripting“-Sicherheitslücken in der eigenen Onlineshop-Software schließen soll. Das US-Unternehmen reagiert mit der Patch-Sammlung namens „Magento Patch SUPEE-7405“ unter anderem auf zwei bedeutende XSS-Lücken. Diese zwei sicherheitsrelevanten Probleme wurden auf der CVSSv3-Skala jeweils mit einer 9.3 von 10 eingestuft und damit als kritisch angesehen. Im schlimmsten Fall können Hacker darüber die Kontrolle über Webseiten übernehmen, neue Administrator-Konten anlegen und Kundendaten entnehmen.

Installation dringend empfohlen

Bisher sollen Hacker diese nun gestopften Lücken noch nicht für Angriffe ausgenutzt haben, heißt es von Magento. Trotzdem sollten Onlineshop-Betreiber das Update herunterladen und ausführen, da die Schwachstellen nun öffentlich bekannt sind und damit auch ausgenutzt werden können. Es sollen Millionen Shops betroffen sein. Entsprechend sollten Shop-Betreiber zeitnah die Version 1.9.2.3 von Magento CE und 1.14.2.3 von Magento EE installieren. Denn alle vorigen Versionen sollen bedroht sein.

Die Schwachstellen

Laut Magento trat die erste Lücke bei der Registrierung von Kunden auf. Dabei müssen Neukunden ihre E-Mail-Adresse eingeben. Das System hat die Eingabe bisher nicht richtig geprüft und die Anfrage als Admin ausgeführt. Letztlich konnten Angreifer mithilfe eines manipulierten Javascript-Codes die Admin-Session stehlen und somit den Onlineshop übernehmen.

Bei der zweiten XSS-Lücke können Hacker einem manipulierten Kommentar zu einer Bestellung abgeben und somit JavaScript-Code in der Datenbank speichern. Greift der Admin darauf zu, kann der Angreifer auch hier die Session und damit den Webshop übernehmen.

Die folgenden 18 Schwachstellen werden auf der CVSSv3-Skala „nur“ von hoch (7,5) über medium (6,5) bis niedrig (3,8 bzw. 0) eingestuft. Die Bedeutung dieser Lücken ist zwar nicht zu unterschätzen, aber nicht so groß, wie die ersten zwei genannten Schwachstellen.

Hinweis für CYBERDAY Magento-Kunden

Zum Schutz unserer Kunden, deren Daten und Infrastruktur nehmen wir solche Patches proaktiv vor. So können sich die Händler auf die Tätigkeit konzentrieren, auf die es wirklich ankommt: auf das Verkaufen!

Gerne unterstützen wir auch Sie, beim optimalen Schutz Ihres Magento-Onlineshops. Sprechen Sie uns einfach an. Wir stehen für ein unverbindliches Erstgespräch gerne für Sie bereit.

Telefon: 089 23 23 92 94 0

Keine Angst vor Hacker-Angriffen auf Magento-Shops

Neben unserem proaktiven Schutz, bieten wir mit unserem kostenlosen Praxisratgeber „DDoS-Attacken – keine Panik, sofort reagieren“ eine umfangreiche Anleitung, wie man sich wirkungsvoll vor Hacker-Angriffen schützt und wie man im unvorbereiteten Fall mit Sofortmaßnahmen gegensteuern kann.

Links:

Schreibe einen Kommentar

Ähnliche Artikel
Kontakt