LimeSoda Blog ☰ Zeige Kategorien

Remote-Code-Execution-Sicherheitslücke in Magento – jetzt schließen!

Jede Software hat Fehler. Das dürfte weitläufig bekannt sein. Dieses Mal hat es die Webshop-Software Magento erwischt: eine Sicherheitslücke könnte es Angreifern ermöglichen, eigenen Code auszuführen.

Letzte Nacht veröffentlichte Magento Inc. daher einen Patch für diese Remote-Code-Execution-Sicherheitslücke:

In einem Mail von Magento liest sich die Meldung wie folgt:

Dear Merchant,

We’d like to make you aware of an important new patch that addresses a potential security issue in Magento software. This issue allows an attacker to remotely execute code on Magento software using a specially crafted request. This issue affects all versions of Magento Enterprise Edition.

While we have not received any reports of customers being impacted by this issue, we encourage you to immediately install the patch as preventative measure.

Recommended actions:
• Check for unknown files in the web server document root directory. If you find any, you may be impacted.
• Download the patch (SUPEE-5344) from the Magento Support Portal. Different versions of the patch are available for Magento Enterprise Edition 1.11.x through 1.14.1.
• Implement and test the patch in a development environment first to confirm that it works as expected before deploying it to your live site.
Magento takes security seriously and will continue to actively work to identify and resolve potential issues.

Betroffene Versionen

Betroffen sind diverse Versionen von Magento. Die offiziellen Patches decken CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14 ein. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen (Stand: Februar 2015).

Beseitigung der Sicherheitslücke

Die Patches können für die Community Edition auf der Download-Seite und für die Enterprise Edition im Partner-Portal bzw. Support-Bereich heruntergeladen werden.

Achtung: der Patch hat eine unterschiedliche Nummer, je nachdem für welche Magento-Version der Patch erstellt wurde:

  • CE 1.4.0.x – 1.5.0.x
    PATCH_SUPEE-5388_CE_1.4.0.0-1.5.0.1_v1.sh
  • CE 1.5.1.0
    PATCH_SUPEE-5390_CE_1.5.1.0_v1.sh
  • CE 1.6.0.x
    PATCH_SUPEE-5341_CE_1.6.0.0_v1.sh
  • CE 1.6.1.x – 1.6.2.x
    PATCH_SUPEE-5346_CE_1.6.1.0_v1.sh
  • CE 1.7.x
    PATCH_SUPEE-5345_CE_1.7.0.2_v1.sh
  • CE 1.8.x – 1.9.x
    PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh
  • EE 1.7.0.0 – 1.10.0.2
    PATCH_SUPEE-5388_EE_1.7.0.0_to_1.10.0.2_v1-2015-02-12-06-15-02.sh
  • EE 1.10.1.x
    PATCH_SUPEE-5390_EE_1.10.1.x_v1-2015-02-12-06-25-09.sh
  • EE 1.11.0.x
    PATCH_SUPEE-5341_EE_1.11.0.0_v1-2015-02-10-04-08-59.sh
  • EE 1.11.1.0 – 1.12.1.0
    PATCH_SUPEE-5346_EE_1.11.1.0_v1-2015-02-10-04-13-55.sh
  • EE 1.12.0.x
    PATCH_SUPEE-5345_EE_1.12.0.2_v1-2015-02-10-04-17-49.sh
  • EE 1.13.x – 1.14.x
    PATCH_SUPEE-5344_EE_1.14.1.0_v1-2015-02-10-04-20-13.sh

Die Anwendung des Patches erfolgt im Magento-Root-Verzeichnis über diesen Befehl:

Danach wird die Änderung getestet, wobei nach unserer ersten Einschätzung nur selten Kompatibilitätsprobleme zu erwarten sind.

Ablauf für Bestandskunden

Wir informieren unsere Wartungskunden wie üblich über den Patch und spielen diesen in das System ein. Für nähere Informationen können Sie uns gerne kontaktieren!

Update 16.02.2015

Am Wochenende hat Magento den Patch auch für CE 1.4/1.5.0.1 sowie für EE 1.7 bis 1.10  veröffentlicht. Die Liste wurde aktualisiert.

Update 20.02.2015

Nun ist auch der Patch für CE 1.5.1.0 verfügbar.

Update 24.04.2015

Wie Sucuri berichtet wird die Schwachstelle nun nach der Veröffentlichung von Details aktiv ausgenutzt. Dieser Angriff wird momentan von den russischen IPs 62.76.177.179 und 185.22.232.218 ausgeführt. Ist die Attacke erfolgreich, dann werden die Magento-Backend-User „vpwq“ oder „defaultmanager“ angelegt.

Kommentare

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Matthias Zeis

Verpasse nicht den nächsten Blog-Post von Matthias!

Jetzt zum LimeSoda-Newsletter anmelden