Patch SUPEE-6482 für neue Magento Sicherheitslücken

Es gibt wieder einen Patch für Magento-Shopsysteme, welcher einige schwere Sicherheitslücken schliesst. Das Magento Sicherheitsupdate SUPEE-6482 wurde am 04. August 2015 veröffentlicht. Zur Zeit sind zwar noch keine Angriffe bekannt, die diese Sicherheitslücke ausnutzen, jedoch kann bei nicht schließen der Lücken, es jeder Zeit zu Angriffen kommen.

Betroffen sind sämtliche Magentoversionen die kleiner als die Version 1.9.2.0 sind. Alle Nutzer der Communityedition > 1.9.2.1 oder der Enterprise Edition > 1.14.2.1 sind von der aktuellen Sicherheitslücke nicht betroffen.

Welche Lücken werden geschlossen?

Zunächst kann eine bestimmte Serverkonfiguration dazu führen, dass über den Cache ein beliebiger HTML oder Java Script Code eingeschleust werden kann. Auch aktive Sessions können beendet und manipuliert werden, um so z.B. gefälschte Zahlungsdaten einzutragen oder Kreditkartendaten ab zugreifen. Wie bereits erwähnt, funktioniert dieser Exploit nur bei bestimmten Serverkonfigurationen.

Ein weitere Lücke gibt es in der SOAP Schnittstelle. Durch eine falsche Validierung in Kombination mit bestimmten PHP-Versionen und Serverkonfigurationen, kann Schadcode eingeschleust werden.

Durch eine Cross-Site-Scripting Schwachstelle, welche durch unescaped Suchparameter ausgelöst wird, kann der Angreifer Einfluss auf registrierte Benutzer durch Cookie Diebstahl und Benutzeridentitätswechsel haben.

Alle Informationen zu den Sicherheitslücken finden Sie auf der offiziellen Magento Website. Folgen Sie einfach dem Link.

Wenn Sie sich mit dem Einspielen von Sicherheitupdates nicht auskennen oder unsicher sind, bieten wir Ihnen die Installation des aktuellen und der alten Updates gerne als Dienstleistung an. Schreiben Sie uns unter der info@bbfdesign.de oder rufen Sie uns unter der +49 2307 / 9169255 an.


Von | 2015-08-05T15:56:49+00:00 05. August 2015|Ecommerce, Magento, News, Sicherheit|0 Kommentare

Über den Autor:

Björn Alexander Binder
Seit 1998 bin ich mit dem Ecommerce vertraut und habe zu der Anfangszeit mit Partnern neben einigen Webprojekten mehrere Onlineshops betrieben. Zu Beginn handelte es sich noch um oscommerce basierende Shops. Aufgrund vieler Mängel und fehlenden Features habe ich mich mit anderen oscommerce Usern zusammen getan und wir haben das oscommerce Shopsystem geforkt. Aus diesem Fork wurde später dann das xtcommerce Shopsystem aus dem ich mich direkt in der Anfangszeit aufgrund Zeitmangels zurück gezogen habe. Seit 2013 betreue ich wieder als selbständiger Kunden rund um den Ecommerce Sektor und bin zudem JTL Servicepartner. Für mich ist die persönliche Betreuung und klare Informationspolitik meinen Kunden gegenüber das wichtigste. Nur zufriedene Kunden sind gute Kunden! Bei Fragen rund um JTL, Magento und anderen Onlineshopsystemen bin ich Ihr Ansprechpartner und freue mich auf Ihre Anfrage.

Hinterlassen Sie einen Kommentar