Magento-Patch: Update soll Kundendaten-Leck stopfen

Im Shop-System Magento klaffen Lücken, die es Angreifern erlauben, Admin-Konten zu kapern und Kundendaten auszulesen. Der Hersteller hat jetzt einen Patch veröffentlicht, der Abhilfe schaffen soll.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Magento-Tasse
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die Entwickler des Shop-CMS Magento haben einen Patch veröffentlicht, der insgesamt acht verschiedene Sicherheitslücken schließt. Das unter der Bezeichnung SUPEE-6285 herausgegebene Update enthält einen Fix, der laut CVSS-Skala mit einer Gefährlichkeit von 9,3 bewertet wird und damit als kritisch gilt. Über diese Lücke können Angreifer einen eingeloggten Magento-Admin dazu bringen, unbemerkt beliebigen Schadcode auszuführen.

Eine Lücke, bei der die Gefahr als "hoch" eingeschätzt wird, sorgt dafür, dass Angreifer über Anfragen via RSS Kundendaten auslesen können. Dazu gehören wohl E-Mail-Adressen, Versandadressen und in seltenen Fällen (so Magento) Daten, die dazu benutzt werden können, sich ein Admin-Konto in dem CMS zu verschaffen. Magento prüft wohl URL-Anfragen an den Server nicht korrekt und gibt deswegen diese Daten preis. Ob es sich hierbei um die Magento-Lücke handelt, über die heise Security im Juni berichtete, ist momentan noch unklar.

Weitere Lücken, die mit dem Patch geschlossen werden, erlauben Cross-Site Scripting (XSS) und das Auslesen von Log-Dateien. Auf diesem Weg können Angreifer Informationen über die Konfiguration des Servers sammeln und ihn dann dementsprechend angreifen. Von den Lücken betroffen sind alle Magento-Community-Versionen (CE) vor 1.9.2.0 und alle Versionen von Magento Enterprise Edition (EE). In der Vergangenheit wurden Lücken in Magento immer wieder sehr schnell nach bekannt werden für aktive Angriffe ausgenutzt. Admins sollten die Patches also so schnell wie möglich einspielen. (fab)