SUPEE-6788 behebt 12 Probleme, wovon eines mit dem Schweregrad „Critical“ und fünf mit dem Schweregrad „High“ eingestuft wurden:
- Schweregrad „Critical“:
Cross-site Scripting-Lücke aufgedeckt: Durch die aufgedeckte Sicherheitslücke ist es Angreifern möglich, beliebigen HTML- oder JavaScript Code in das Zielsystem einzubinden. Dies stellt für jeden Shopbesucher eine große Gefahr dar, da hierdurch z.B. Sessions übernommen werden oder Seiten mit falschen Inhalten und Formularen, wie Kreditkartenformularen, versehen werden können. - Schweregrad „High“:
- Bestimmte Fehlerausgaben zeigen Magento- und Datenbankinformationen an, welche für Angriffe ausgenutzt werden können.
- Ausgabe von Benutzerinformationen über eingebundene E-Mail-Templates;
- XML Injection: Über das Zend Framework können unter bestimmten Bedingungen Passwort- und Konfigurationsdateien ausgelesen werden (Forced API Call);
- SQL-Injection über Drittanbieter-Plug-Ins möglich, wodurch über das Shop-Frontend Datenbankabfragen- und Eingaben vorgenommen werden können;
- Remote Code Execution über Cron.php möglich.
Die neuen Sicherheitslücken betreffen alle Installationen von Magento CE vor der Version 1.9.2.2 und Magento EE vor der Version 1.14.2.2.
Sollten Sie Ihr Magento Shopsystem ab der Version Community Edition 1.9.2.2 oder Enterprise Edition 1.14.2.2 betreiben, müssen Sie das Patch nicht installieren.
Alle Informationen über das Sicherheitsupdate SUPEE-6788 finden Sie auch auf der entsprechenden Webseite bei Magento.
Magento SUPEE-6788 installieren
Bitte beachten Sie: Die Installation des Patches Magento SUPEE-6788 kann Inkompatibilitäten mit installierten Plug-Ins mit sich bringen. Eine Installation ist daher in jedem Fall auf einem eigenen Entwicklungsserver vorzunehmen, um die Funktionalität Ihres Livesystems nicht zu gefährden.