LimeSoda Blog ☰ Zeige Kategorien

Patch-Work: Magento Security Updates 2015

Magento Patches 2015

Das Jahr 2015 hält uns mit Magento mit verschiedenen Patches auf Trab. Nach einer falschen Warnmeldung einer bestehenden Sicherheitslücke, sind im Juli und August zwei weitere Patches veröffentlicht worden. In diesem Blogpost werden die aktuellen Magento Patches erklärt und warum es wichtig ist, diese Patches zu installieren.

Vorweg: Wenn die nachfolgend aufgelisteten Patches noch nicht in Ihrem Magento-Shop installiert sind, empfehlen wir Ihnen, dies schnellstmöglich nachzuholen.

Für alle Patches gilt: Zuvor sollten alle vorangegangenen Patches installiert werden (falls das nicht ohnehin regelmäßig passiert), da sonst Fehler bei der Installation auftreten können. Alternativ kann auch die zugrundeliegende Magento-Installation auf die aktuellste Version aktualisiert werden. Überprüfen Sie zuvor aber unbedingt, welche Patches in den Magento Versionen enthalten sind.

Auch wenn die Hersteller-Patches ein wichtiger Teil der Sicherheit des gesamten Systems sind, so sind auch noch zusätzliche Kriterien wie Zahlungsdaten, Drittanbieter-Integrationen wie Magento Extensions und Schnittstellen sowie das Server Setup zu beachten. Außerdem gibt es einige Grundregeln für die Sicherheit aller Web-Anwendungen.

SUPEE-5344 (12.02.2015) aka „Shoplift“

Von der Magento Community liebevoll „Shoplift“ genannt, bietet dieser Bug weniger liebevolle Angriffsmethoden: Über eine SQL Injection und Remote File Inclusion ist es Angreifern möglich, die komplette Kontrolle über den Shop zu erlangen. Dazu wird ein zusätzlicher Admin-Benutzer angelegt.

Der Patch wurde bereits im Februar von Magento veröffentlicht. Im April wurden von der Sicherheitsfirma, die diese Sicherheitslücken entdeckt hat, auch die Angriffsvektoren bekannt gegeben. Bei ungepatchten Shops wird dieser Bug seit der Veröffentlichung der Information aktiv ausgenutzt.

Matthias hat Details zu diesem Patch auch in seinem Blogpost erklärt.

Ist Ihr Shop betroffen?

Testen Sie es mit dem Shoplift Bug Tester: https://shoplift.byte.nl

Leider sind derzeit noch immer sehr viele Magento-Shops, auch aus Österreich, ungepatcht.

SUPEE-5994 (15.05.2015)

Dieser Patch enthielt insgesamt Lösungen für acht verschiedene Sicherheitslücken, die behoben wurden: Informationslecks der Admin-URL, Kundendaten und -adressen, dem Auslesen lokaler Dateipfade auf dem Server,Cross-site Scripting (XSS) über den Magento Downloader,Ausführen von Schadcode via Tabellen-Formulare,Cross-site Scripting im Authorize.Net Direct Post Modul sowie dem Überschreiben von Server-Dateien durch schadhafte Magento Extensions.

SUPEE-6285 (07.07.2015)

Dieser umfangreiche Patch enthielt ebenfalls Fixes für acht Sicherheitslücken: Die schwerwiegendste davon (mit einer CVSS Einstufung von 9.3) war die Möglichkeit für Angreifer, beliebige, externe Module über den Magento Connect Download Manager im Shop zu installieren. Die behobenen Sicherheitslücken im Detail:

  • Informationsleck von Kundendaten via RSS
  • Unwissentliches Ausführen von Website-Aktionen (CSRF, Cross-site Request Forgery) in Magento Connect
  • Cross-site Scripting in der Wunschliste
  • Cross-site Scripting im Warenkorb
  • Informationslücke, die den Admin-Pfad zurückliefert
  • Dateirechte der Logfiles zu wenig restriktiv
  • Cross-site Scripting im Admin-Bereich
  • Cross-site Scripting in RSS-Feed der Bestellungen

Außerdem wurde die Überprüfung, ob eine Admin-Seite für einen eingeschränkten Administrator zugänglich ist, korrigiert. Das führt dazu, dass Admin-Seiten von Drittanbietermodulen, in denen dieser Check nicht implementiert war, für eingeschränkte Benutzer nicht zugänglich waren, was zu „Access denied“ Meldungen geführt hat und entsprechende Anpassungen und zusätzliche Updates der Module – seitens der Hersteller – erforderlich machte.

Alle Versionen ab Magento Community Edition 1.9.2.0 und höher enthalten diesen, sowie alle vorangegangenen Patches, bereits.

SUPEE-6482 (04.08.2015)

Dieser Patch enthält 2 Security Fixes für die Community Edition sowie 4 Security Fixes für die Enterprise Edition.

Community Edition und Enterprise Edition:

  • Remote Code Execution über die SOAP API
  • Remote File Inclusion über WSDL (betrifft ebenfalls die SOAP API)

Enterprise Edition:

  • Cross-site Scripting/Cache Poisoning über unvalidierte Header-Felder im Cache
  • Cross-site Scripting über einen unescapten Suchparameter der Gift Registry

Die Magento Community Edition 1.9.2.1 sowie Magento Enterprise Edition 1.14.2.1 enthalten diesen, sowie alle vorangegangenen Patches, bereits.

Horror!

Die obige Liste liest sich wie eine Horror-Story? Wenn Ihr Shop ungepatched und ungewartet ist besteht auf alle Fälle dringend Handlungsbedarf.

Für den Fall, dass ihr Shop alle Patches enthält und entsprechender Best-Practice Vorgaben für Magento-Shops und Web-Anwendungen erstellt dürfen Sie etwas beruhigter schlafen gehen. Vorsicht ist dennoch immer geboten. Lassen Sie sich von Ihrem Entwickler oder Ihrer Agentur beraten!

LimeSoda fügt alle Sicherheits-Patches im Rahmen einer Servicevereinbarung zeitnah nach Erscheinen in ihren Magento-Shop ein.

Einmal patchen, bitte!

Wenn es notwendig ist ihren Shop zu Patchen, gibt es grundsätzlich zwei Möglichkeiten: Sie installieren den Patch oder sie aktualisieren die zu Grunde liegende Magento Version auf eine aktuelle Version, die den Patch bereits enthält.

Da ein Patch so zeitnah wie möglich nach Erscheinen eingespielt werden soll, wird in der Regel der Patch eingespielt und das Magento Update (das neben den Sicherheitspatches auch Funktionserweiterungen enthält) nachgezogen.

Patches in der Theorie

Grundsätzlich funktioniert das „patchen“ (einspielen eines Security-Patches) so: Man lädt den Patch herunter, installiert ihn und übernimmt ihn ins Live-System. Diese Vorgehensweise klingt sehr trivial und funktioniert vermutlich genau ein einziges Mal: Nämlich dann, wenn ein Magento-Shop in Entwicklung ist und (noch) nichts oder nur wenig angepasst wurde und der Patch direkt nach der Installation des Systems angewendet wird.

Patches in der Theorie

Patches in der Praxis

In der Praxis sind viele Schritte notwendig, um einen Patch erfolgreich anzuwenden.

„Man lädt den Patch herunter, installiert ihn und übernimmt ihn ins Live-System.“ sieht dann so aus:

  1. Die installierte Magento-Version wird erhoben. Diese findet man als Administrator am einfachsten am Seitenende jeder Seite des Admin-Bereiches.
  2. Der Patch für die entsprechende Magento-Version wird heruntergeladen: Es gibt je nach Version und Edition unterschiedliche Patches.
  3. Der Inhalt des Patches wird überprüft: Zusätzlich zu den textuellen Erläuterungen, welche Änderungen zu erwarten sind, wird der Inhalt des Patch-Files überprüft. Somit erhält man auch einen ersten Eindruck, welche Bereiche (Magento Core-Module, Dateien) betroffen sind. Dadurch lässt sich auch schon etwas abschätzen, ob für den betreffenden Shop weitere Anpassungen erforderlich sein werden oder ob Probleme zu erwarten sind.
  4. Der Patch wird im Entwicklungssystem (!) angewendet.
  5. Vereinzelt (wenn möglicherweise ein nicht benötigtes Core-Verzeichnis wie /downloader) entfernt wurde, kann es bei der Patch-Anwendung zu Konflikten kommen. Diese muss man manuell beheben.
  6. Die gepatchen Dateien – speziell jene, in denen es Konflikte gab bzw. bei denen das Merge-Tool Backup- oder zurückgewiesene Dateien angelegt hat – werden überprüft. Im einfachsten Fall reichte in Ansicht der Änderungen in der Versionierung.
  7. Der Patch wird im Entwicklungssystem getestet. Ist der Test erfolgreich, erfolgt je nach Projekt und Kunde eine direkt Übernahme ins Live-System oder es sind weitere Tests in Staging- oder Testumgebungen notwendig.
  8. Der Patch wird ins Live-System übernommen und das Ergebnis dort nochmal kontrolliert.

patches_praxis

Der obenstehende Ablauf erklärt auch ganz gut, warum ein Patch manchmal etwas länger dauert: Abhängig von den kundenspezifischen Anpassungen und Magento Extensions kann es sein, manchmal mehr oder weniger Anknüpfungspunkte an die Patches testen zu müssen. Den gleichen Patch bei verschiedenen Kunden einzuspielen und zu testen kann bei verschiedenen Kunden also unterschiedlich lange dauern.

Infos & Downloads

Wer selbst auf dem Laufenden bleiben will: Mit einer Anmeldung in der Magento Security Alert Registry erhält man sicherheitsrelevante Informationen von Magento per E-Mail. Link: https://magento.com/security

Die Patches sind über folgende Wege beziehbar:

Magento Community Edition

https://www.magentocommerce.com/download

Magento Enterprise Edition

Enterprise Kunden können die Patches auf magentocommerce.com beziehen. Dort sind die Patches über den Account > Magento Enterprise Edition > Support Patches verfügbar.

Beratung

Wenn Sie noch genauere Informationen benötigen oder gerne eine detaillierte Beurteilung der Sicherheit Ihres Online-Shops hätten, kontaktieren Sie uns!

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Anna Völkl

Verpasse nicht den nächsten Blog-Post von Anna!

Jetzt zum LimeSoda-Newsletter anmelden