Magento SUPEE-6788 Sicherheitsupdate veröffentlicht
Mittwoch, 28. Oktober 2015

Magento SUPEE-6788 Sicherheitsupdate veröffentlicht

Am 27.10.2015 wurde erneut ein Magento Patch herausgegeben. Das umfangreiche Sicherheitsupdate mit der Bezeichnung Magento SUPEE-6788 kommt jedoch nicht ohne Tücken. In diesem Beitrag möchten wir auf den Umfang und mögliche Probleme bei und nach der Installation des Patches eingehen.

SUPEE-6788 behebt 12 Probleme, wovon eines mit dem Schweregrad „Critical“ und fünf mit dem Schweregrad „High“ eingestuft wurden:

  • Schweregrad „Critical“:
    Cross-site Scripting-Lücke aufgedeckt: Durch die aufgedeckte Sicherheitslücke ist es Angreifern möglich, beliebigen HTML- oder JavaScript Code in das Zielsystem einzubinden. Dies stellt für jeden Shopbesucher eine große Gefahr dar, da hierdurch z.B. Sessions übernommen werden oder Seiten mit falschen Inhalten und Formularen, wie Kreditkartenformularen, versehen werden können.
  • Schweregrad „High“:
    • Bestimmte Fehlerausgaben zeigen Magento- und Datenbankinformationen an, welche für Angriffe ausgenutzt werden können.
    • Ausgabe von Benutzerinformationen über eingebundene E-Mail-Templates;
    • XML Injection: Über das Zend Framework können unter bestimmten Bedingungen Passwort- und Konfigurationsdateien ausgelesen werden (Forced API Call);
    • SQL-Injection über Drittanbieter-Plug-Ins möglich, wodurch über das Shop-Frontend Datenbankabfragen- und Eingaben vorgenommen werden können;
    • Remote Code Execution über Cron.php möglich.

Die neuen Sicherheitslücken betreffen alle Installationen von Magento CE vor der Version 1.9.2.2 und Magento EE vor der Version 1.14.2.2.

Sollten Sie Ihr Magento Shopsystem ab der Version Community Edition 1.9.2.2 oder Enterprise Edition 1.14.2.2 betreiben, müssen Sie das Patch nicht installieren.

Alle Informationen über das Sicherheitsupdate SUPEE-6788 finden Sie auch auf der entsprechenden Webseite bei Magento.

Magento SUPEE-6788 installieren

Bitte beachten Sie: Die Installation des Patches Magento SUPEE-6788 kann Inkompatibilitäten mit installierten Plug-Ins mit sich bringen. Eine Installation ist daher in jedem Fall auf einem eigenen Entwicklungsserver vorzunehmen, um die Funktionalität Ihres Livesystems nicht zu gefährden.

SUPEE

Beratung, Unterstützung und Umsetzung
Gerne sind wir Ihnen bei der Systemanalyse und dem Einspielen von Updates und Patches behilflich.

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie: