Magento SUPEE-6285 Sicherheitsupdate veröffentlicht
Mittwoch, 08. Juli 2015

Magento SUPEE-6285 Sicherheitsupdate veröffentlicht

Der Hersteller Magento hat am 07.07.2015 neue Sicherheitslücken innerhalb des Shopsystems bekannt gegeben und das Magento Sicherheitsupdate SUPEE-6285 veröffentlicht. Betroffen sind laut Hersteller alle Magento Community-Edition und Enterprise-Edition Versionen (Magento CE vor 1.9.1.1 und Magento EE vor 1.14.2.0.).

Welche Sicherheitslücken von Magento werden geschlossen?

Der Hersteller betont die Notwendigkeit des SUPEE-6285 Patches, da ohne die Installation die Gefahr von erheblichen Sicherheitsrisiken bestehen bleibt und der Schutz Ihrer Daten nicht gewährleistet ist. Die vorhergehenden Updates haben bereits einige Lücken geschlossen, nachzulesen im Sysgrade Blog:

Der aktuelle Patch SUPEE-6285 schließt die folgenden Lücken:

Attacken auf den Administrationsbereich

Durch die Aktualisierung Ihrer Magento-Installation wird verhindert, dass sich Fremde illegalen Zugriff zu Ihren Administrationbereich verschaffen und dort Informationen zu letzten Bestellungen einsehen können. Diese Daten könnten für weitere Angriffe verwendet werden und müssen daher besonders geschützt werden. Es wird ausdrücklich dazu geraten, zu kontrollieren ob Ihr Magento-Shop gefährdet ist indem Sie Ihre Server-Logs auf unerlaubte Abrufe auf /rss/NEW überprüfen.

Weitere Sicherheitslücken

Eine nicht ausreichende Überprüfung von URLs führte bisher zum möglichen Durchsickern von Kundeninformationen wie Name und Bestelldaten. Durch Webseitenübergreifendes Scripting (cross-site scripting XSS) beim Versenden von Wunschlisten konnten durch Manipulation des Kundennamens Phishing-Emails versendet werden. Ebenso bestand die Gefahr von Anfragenfälschungen durch cross-site request forgery (CSRF).

Dies ist nur ein Auszug der Sicherheitslücken, die durch SUPEE-6285 behoben werden. Eine vollständige Liste aller Sicherheitslücken, die durch das SUPEE-6285 Patch Bundle geschlossen werden sowie weitere Informationen über die Vorgänger SUPEE-5944 und SUPEE-5344 finden Sie auf der entsprechenden Webseite bei Magento.

Was muss bei der Installation von SUPEE-6285 beachtet werden?

  • Der Patch SUPEE-6285 erfordert die vorherige Installation des Patches SUPEE-5994
  • Am 14.07.2015 hat der Hersteller Magento eine wichtige Mitteilung herausgegeben:
    Sollten Sie das PATCH_SUPEE-6285_CE_1.9.1.1_v1 installiert haben, sollten Sie die Installation des Patches rückgängig machen und das PATCH_SUPEE-6285_CE_1.9.1.1_v2 installieren. Weitere Informationen können Sie auf der entsprechenden Webseite bei Magento einsehen.

Aufgrund der aktuellen Häufung an kritischen Sicherheitsupdates haben wir für Sie eine kurze Anleitung erstellt, wie Sie Magento SUPEE Patches per FTP selbst einspielen können: How To: Magento Sicherheitsupdates ohne SSH-Zugang installieren

SUPEE

Beratung, Unterstützung und Umsetzung
Gerne sind wir Ihnen bei der Systemanalyse und dem Einspielen von Updates und Patches behilflich.

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie: