Magento SUPEE-8788 Sicherheitsupdate veröffentlicht
Donnerstag, 13. Oktober 2016

Magento SUPEE-8788 Sicherheitsupdate veröffentlicht

Am 11.10.2016 wurde das Magento Sicherheitsupdate SUPEE-8788 veröffentlicht. Dieser Patch beinhaltet 17 APPSEC Updates und schließt einige kritische Sicherheitslücken im Magento 1.x Shopsystem. Aufgrund der Schwere der gemeldeten Risiken, empfehlen wir ein schnellstmögliches Update!

Die mit dem Patch geschlossenen Sicherheitslücken betreffen Installationen der Magento Community Edition vor Version 1.9.3 und der Magento Enterprise Edition vor Version 1.14.3 - hier ein Auszug:

  • APPSEC-1484 (9.8 - kritisch)
    Unter Umständen kann von einem Angreifer während des Checkouts Schadcode ausgeführt werden.
  • APPSEC-1480 (9.1 - kritisch)
    Durch einen Fehler im Zend Framework existieren Angriffspunkte für SQL Injection.
  • APPSEC-1488 (8.2 - hoch)
    In der Enterprise Edition existiert eine Lücke, die es über Cross-Site Scripting ermöglicht, fremden JavaScript Code im Zielsystem einzubinden.
  • APPSEC-1247 (7.7 - hoch)
    Ein Angreifer, der Administratorrechte besitzt oder erlangt hat, kann aus dem Cache sensible Informationen auslesen.
  • APPSEC-1517 (7.5 - hoch)
    Unter gewissen Umständen besteht die Möglichkeit, dass sich Angreifer nur über die E-Mail Adresse und ohne Passwort als existierender Shopbenutzer anmelden.
  • Diverse weitere mittlere und geringere Sicherheitslücken.

heise online warnt vor steigender Anzahl unsicherer Onlineshops

Ergänzend zur obenstehenden Auflistung der entdeckten Magento-Sicherheitslücken, möchten wir Ihnen informativ auch einen Beitrag vom 13.10.2016 des „heise Security“ Channels ans Herz legen: "6000 Online-Shops angeblich mit Kreditkarten-Skimmern verseucht - Tendenz steigend". Dieser zeigt auf, dass das Abziehen von Kreditkarten-Daten über die Einspeisung von Schadsoftware ein wachsendes Problem darstellt. Sicherheitsforscher haben hier zudem ermittelt, dass Shopbetreibern häufig noch das Bewusstsein für das konkrete Gefährdungspotential durch den Einsatz veralteter Shopsoftware-Versionen fehlt.

Magento SUPEE-8788 installieren

Bitte beachten Sie: Die Installation des Patches Magento SUPEE-8788 kann Inkompatibilitäten mit installierten Plug-Ins mit sich bringen. Eine Installation ist daher in jedem Fall auf einem eigenen Entwicklungsserver vorzunehmen, um die Funktionalität Ihres Livesystems nicht zu gefährden.

Zudem wurden Probleme beim Einspielen auf Systemen mit Magento 1.7 und mit älteren SUPEE-Patches festgestellt, die den zeitlichen Aufwand des Updates zum Teil deutlich erhöhen können.

SUPEE

Beratung, Unterstützung und Umsetzung
Gerne sind wir Ihnen bei der Systemanalyse und dem Einspielen von Updates und Patches behilflich.

Kontaktaufnahme »

Weitere Beiträge in dieser Kategorie: