Magento SUPEE-5994 Sicherheitsupdate veröffentlicht
Freitag, 15. Mai 2015

Magento SUPEE-5994 Sicherheitsupdate veröffentlicht

Am 14.05.2015 wurde das Magento Sicherheitsupdate SUPEE-5994 herausgegeben. Das Update umfasst gleich sieben Patches. Was genau diese Patches bewirken und welche Sicherheitslücken dadurch geschlossen werden, möchten wir Ihnen nachfolgend gerne aufzeigen.

Die Sicherheitslücken im Überblick

Die aufgeführten Sicherheitslücken bestehen in allen Versionen der Magento Community Edition und Enterprise Edition (Magento 1.6.x.x-1.9.1.1). Auch wenn Sie Ihr Magento-Shopsystem also auf der aktuellsten Version betreiben, sind Sie davor nicht sicher. Die Installation des Magento Sicherheitsupdates SUPEE-5944 ist daher unumgänglich.

Lücke 1: Offenlegen des Anmeldepfades

Durch die „Admin Path Disclosure“-Lücke kann ein Angreifer die Admin Login-Seite durch den direkten Aufruf eines Moduls, unabhängig von der URL erreichen. Dadurch wird die URL der Admin-Login-Seite offengelegt, wodurch beispielsweise ein anschließender Brute-Force-Angriff einfach ausgeführt werden kann.

Lücke 2 und Lücke 3: Abrufen von Adressinformationen

Durch eine Sicherheitslücke im Check-Out-Prozess ist es einem Angreifer möglich, Adressinformationen durch die sequenzielle Eingabe von IDs abzurufen. Dadurch können sowohl der Name, die Adresse, als auch die hinterlegte Telefonnummer der vorhandenen Datensätze abgerufen werden.

Durch eine weitere Lücke (aktuell wohl die schwerwiegendste) können neben Adressdaten (Name, Adresse, Telefon) auch bisherige Bestellungen (Artikel, Menge) und die verwendete Bezahlmethode abgerufen werden. Der Angriff kann vollständig automatisiert werden und somit können alle Kundendatensätze abgefragt werden.

Alle im Shop gespeicherten Adressdaten von Kunden sind somit in akuter Gefahr.

Lücke 4: Ausgabe von Serverpfaden

Durch die Angabe von fiktiven Bild-URLs können Fehlerausgaben erzeugt werden, wodurch interne Serverpfade ausgegeben werden. Diese Lücke ist unabhängig von den Einstellungen des Systems oder des Servers.

Lücke 5: Code-Injection über Tabellenkalkulation

Über eine weitere Lücke ist es aktuell möglich, Daten zu übergeben, welche nach dem Export und Ausführung in einer Tabellenkalkulation (z.B. Microsoft Excel) einen Angriff ermöglichen. Blendet ein User die Warnmeldung einer infizierten Tabellenkalkulations-Datei aus, kann auf diese Weise schadhafter Code ausgeführt werden. Dadurch können Benutzerdaten beispielsweise an eine Website übermittelt werden.

Lücke 6: Cross-site Scripting über Authorize.net

Ein Angreifer kann eine komplette User-Session übernehmen, sollte ein User auf einen kompromittierten Link klicken. Dadurch kann sich der Angreifer gegenüber dem Shop als derjenige User ausgeben, dessen Session übernommen wurde. Der Angreifer gelangt dadurch an alle vom Kunden hinterlegten Daten im Kundenbackend und sogar mit der übernommenen Session Einkäufe tätigen.

Lücke 7: Malware über Shoperweiterungen

Einem Angreifer ist es aktuell möglich, eine eigene Shoperweiterung zu publizieren, welche nach der Installation Dateien auf dem Server überschreiben kann. Dadurch ist es einem Angreifer möglich, große Mengen an Code direkt in das System einzuschleusen.

Magento SUPEE-5994 installieren

Aufgrund der aktuellen Häufung an kritischen Sicherheitsupdates haben wir für Sie eine kurze Anleitung erstellt, wie Sie Magento SUPEE Patches per FTP selbst einspielen können: How To: Magento Sicherheitsupdates ohne SSH-Zugang installieren

SUPEE

Beratung, Unterstützung und Umsetzung
Gerne sind wir Ihnen bei der Systemanalyse und dem Einspielen von Updates und Patches behilflich.

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie: