Es gibt wieder einen Patch für Magento-Shopsysteme, welcher einige schwere Sicherheitslücken schliesst. Das Magento Sicherheitsupdate SUPEE-6482 wurde am 04. August 2015 veröffentlicht. Zur Zeit sind zwar noch keine Angriffe bekannt, die diese Sicherheitslücke ausnutzen, jedoch kann bei nicht schließen der Lücken, es jeder Zeit zu Angriffen kommen.
Betroffen sind sämtliche Magentoversionen die kleiner als die Version 1.9.2.0 sind. Alle Nutzer der Communityedition > 1.9.2.1 oder der Enterprise Edition > 1.14.2.1 sind von der aktuellen Sicherheitslücke nicht betroffen.
Welche Lücken werden geschlossen?
Zunächst kann eine bestimmte Serverkonfiguration dazu führen, dass über den Cache ein beliebiger HTML oder Java Script Code eingeschleust werden kann. Auch aktive Sessions können beendet und manipuliert werden, um so z.B. gefälschte Zahlungsdaten einzutragen oder Kreditkartendaten ab zugreifen. Wie bereits erwähnt, funktioniert dieser Exploit nur bei bestimmten Serverkonfigurationen.
Ein weitere Lücke gibt es in der SOAP Schnittstelle. Durch eine falsche Validierung in Kombination mit bestimmten PHP-Versionen und Serverkonfigurationen, kann Schadcode eingeschleust werden.
Durch eine Cross-Site-Scripting Schwachstelle, welche durch unescaped Suchparameter ausgelöst wird, kann der Angreifer Einfluss auf registrierte Benutzer durch Cookie Diebstahl und Benutzeridentitätswechsel haben.
Alle Informationen zu den Sicherheitslücken finden Sie auf der offiziellen Magento Website. Folgen Sie einfach dem Link.
Wenn Sie sich mit dem Einspielen von Sicherheitupdates nicht auskennen oder unsicher sind, bieten wir Ihnen die Installation des aktuellen und der alten Updates gerne als Dienstleistung an. Schreiben Sie uns unter der info@bbfdesign.de oder rufen Sie uns unter der +49 2307 / 9169255 an.