Bekanntgewordene Sicherheitslücke in Magento-Shop

Magento LogoAn dieser Stelle möchten wir auf einen Artikel von heise Security mit dem Titel „Magento Shops durch Zend-Lücke angreifbar“ verweisen. Diesen gilt es von unseren Händlern zu beachten, die einen Magento Online-Shop betreiben. Das Problem sollte – soweit noch nicht bekannt und noch nicht behoben – entsprechend aktiv an den Shopbetreuer weitergegeben werden:

Eine kritische Schwachstelle im Zend-Framework führt unter Umständen dazu, dass die freie Shop-Plattform Magento beliebige auf dem Server befindliche Dateien ausgibt (Remote File Disclosure). Sofern die Zend-XMLRPC-Schnittstelle von Magento aktiv ist, kann ein Angreifer durch die Lücke unter Umständen vertrauliche Dateien wie die Datenbank-Konfiguration auslesen und damit auf Kundendaten zugreifen.Die Lücke ist zwar bereits seit rund zwei Monaten bekannt, allerdings haben etliche Shop-Betreiber noch nicht gehandelt: heise Security liegt eine Liste mit über 24 Shops vor, die bis vor kurzem noch verwundbar gewesen sein sollen – oder es noch sind. In vielen Fällen konnten wir das Problem noch am Dienstagvormittag nachvollziehen. Der Verfasser der Liste hat nach eigenen Angaben insgesamt nur rund 50 Shops durchprobiert, was einer Trefferquote von etwa 50 Prozent entspräche. Angesicht der Tatsache, dass bereits seit Ende Juni ein Exploit öffentlich verfügbar ist, ist diese Quote durchaus besorgniserregend.Die Magento-Entwickler haben das Problem mit der Community-Version 1.7.0.2 ihrer Shop-Software beseitigt, auf die man von 1.7.x aufrüsten kann. Für ältere Versionen stehen Patches bereit. Wer die Enterprise- oder Professional-Edition nutzt, findet im Advisory die passenden Update-Instruktionen. Die Go-Version wird automatisch aktualisiert. Zend hat die Lücke mit den Versionen 1.11.12 und 1.12.0 sowie der Beta 5 des 2.0.0-Zweigs geschlossen.

Quelle und weitere Infos: heise.de/…

Posted in:

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sicherheitsabfrage. Bitte lösen Sie die folgende Aufgabe. * Das Zeitlimit wurde überschritten. Bitte laden Sie die Seite erneut.