Sicherheitslücke in Magento Shop System

Sicherheitslücke in Magento Shop System

Eine wichtige Information für alle Magento Shop Betreiber*innen: wie einige Medien und auch Magento selbst per Nachricht im Shop derzeit berichten, wurde von White Hat Hackern der US-Sicherheitsfirma Check Point eine Sicherheitslücke in Magento entdeckt. Die gute Nachricht ist – es gibt bereits eine Lösung und bisher ist keine Ausnutzung der Sicherheitslücke bekannt.

Übersicht über die Updates/Magento Sicherheitspatches dieses Artikels

Details zur entdeckten Sicherheitslücke in Magento

Die Lücke erlaubt es nicht-authentifizierten Angreifer*innen, PHP-Code im System auszuführen und so auf die Datenbanken der Shops zuzugreifen. Die Ausnutzung der Lücke würde es ermöglichen wichtige Daten wie z.B. Kundendaten auszulesen. Die Sicherheitslücke betrifft alle Versionen von Magento, sowohl Enterprise als auch Community. Daher sind alle Magento Shop Betreiber*innen dringend aufgerufen – und werden von Magento derzeit im Shop Backend auch dazu benachrichtigt – ein entsprechendes von Magento bereits im Februar zur Verfügung gestelltes Sicherheitspatch nun dringend einzuspielen.

Die gute Nachricht ist –  die Firma Checkpoint hat vor der Veröffentlichung der entdeckten Lücke Kontakt mit Magento aufgenommen und eine Liste von Fixes an das Unternehmen gegeben.
Das Magento Update, das diese Sicherheitslücke behebt, wurde bereits im Februar zur Verfügung gestellt und ist unter dem Namen Magento SUPEE-5344 zu finden. Eine Ausnutzung der Sicherheitslücke scheint bisher nicht erfolgt zu sein.

Kund*innen von Lemundo müssen sich um die Sicherheit ihrer Shops keine Sorgen machen – alle von uns betreuten Magento Shops sind selbstverständlich auf dem neusten Stand und somit vor Angriffen auf die Sicherheitslücke geschützt.

Tipps für Shop Betreiber*innen zum Update / Patch Ihres Magento Shops

  • prüfen Sie Ihre Magento Shop Version
  • laden Sie bei Magento das entsprechende SUPEE-5344 Patch herunter (Link >>)
  • laden Sie bei der Gelegenheit auch gleich Patch SUPEE-1533 herunter, wenn dieses noch nicht in Ihrem Shop eingespielt wurde!
  • erstellen Sie ein Backup Ihres gesamten Shops (Shop-Dateien & DB) – zumindest jedoch der Shop Ordner „app“ und „lib“
  • prüfen Sie mit dem Patch ob es bereits installiert ist –  wenn nicht führen Sie die Installation aus
  • loggen Sie sich im Backend ein und prüfen Sie ob das Dashboard erscheint – wenn ja sollte die Installation erfolgreich gewesen sein

 Updates bzw. Magento Sicherheitspatches

[UPDATE: 27.04.2015]

Magento versendet aktuell bereits die 3. Meldung – diese erhalten Sie auch wenn Sie die hier empfohlenen Sicherheitspatches bereits eingespielt haben, da Ihr Shop das nicht prüfen kann. Wenn Sie die Patches also schon installiert haben – lassen Sie sich nicht von den weiteren Meldungen verunsichern – Magento möchte sicher gehen, dass alle Shops diese Sicherheitspatches installieren.

[UPDATE 2: 27.04.2015]

Wie heise.de aktuell berichtet, wird nun auch versucht die Sicherheitslücke auszunutzen – wohl von russischen IPs aus im aktuellen Fall. Daher nochmal dringend die Empfehlung an alle Magento Shop Betreiber*innen – installieren Sie umgehend die Sicherheitspatches um die Lücke zu schließen!

[UPDATE 3: 28.04.2015]

Wer testen möchte ob sein Shop sicher ist kann das hier tun >

[UPDATE 3: 18.05.2015 – SUPEE-5994]

Magento hat ein weiteres umfangreiches Sicherheitspatch zur Verfügung gestellt. Es wird dringend empfohlen dieses auch schnellstmöglich zu installieren. Hier >>  gibt es die Informationen zum Magento Patch SUPEE-5994. Das Patch sorgt für mehr Sicherheit in einigen zentralen Bereichen wie z.B. Admin Zugang, Kundendaten und Cross Site Skripting.

[UPDATE 3: 18.06.2015]

Es gibt von Magento auch nochmal eine Testseite um die Sicherheit des eigenen Magento Shops bezüglich des Shoplift Bugs zu testen:
Zum Shoplift Test >>

[UPDATE 4: 08.07.2015 – SUPEE-6285]

Magento hat mit der Version 1.9.2 ein weiteres Sicherheitspatch zur Verfügung gestellt. Die Installation des Magento Sicherheitspatches SUPEE-6285 wird dringend und schnellstmöglich empfohlen! Das Patch bietet eine Absicherung gegen verschiedene sicherheitsrelevante Punkte wie Cross-Site-Scripting, Datenangriffe und Request Forgeries.
WICHTIG – vor der Installation von Magento Patch SUPEE-6285 muss das Patch SUPEE-5994 installiert sein!

[UPDATE5: 05.08.2015 – SUPEE-6482]

Man merkt, dass die Qualitätssicherung bei Magento deutlich verbessert wurde –  ein neues Sicherheitsupdate steht seit heute zur Verfügung mit dem Magento Sicherheitspatch SUPEE-6482. Es handelt sich um ein wichtiges Patch da es zwei API und Cross Site Scripting bezogene Lücken schließt. Mehr Informationen zum Patch finden Sie hier >>

[UPDATE6: 27.10.2015 – SUPEE-6788]

Ein weiteres wichtiges Sicherheitspatch wurde von Magento veröffentlicht. Es hört auf den Namen SUPEE-6788 und stellt die Shop Entwickler vor größere Herausforderungen als noch die früheren Patches, da die Änderungen dazu führen können, dass bestimmte Module nicht mehr funktionieren (Liste von SUPEE-6788 betroffener Module hier >>). Details zu den Sicherheitsaspekten finden Sie hier >>

Mehr Informationen dazu hier >>

Jetzt anfragen

Sie sind unsicher bezüglich des Sicherheitsupdates?

Wir unterstützen Sie gerne.
Jetzt anfragen
Veröffentlicht am: 23. April 2015Kategorien: Magento Shop EntwicklungTags: , , , ,

Gemeinsam
können wir
Großes
bewegen.

Philip Günther

Philip Günther

Geschäftsführer

Aktuelle Blog Beiträge

Über den Autor / die Autorin: M.Paepper

Marc Päpper ist Leiter der Entwicklung bei Lemundo und offiziell zertifizierter Magento Entwickler. Je komplexer die Herausforderungen an die Programmierung, desto größer leuchten seine Augen. Sie haben ein anspruchsvolles Projekt – fordern Sie ihn heraus und Sie bekommen das bestmögliche Ergebnis. Sein Wissensdurst führte ihn über ein Informatik-Studium in Hamburg zur Uni nach Berkeley in Kalifornien sowie ein Masterstudium Neuro-Cognitive Psychology in München. Neben den herkömmlichen Programmiersprachen spricht er auch fließend Englisch und Französisch. IT-untypisch wird die Freizeit entweder Outdoor oder mit einem gutem Buch verbracht.