LimeSoda Blog ☰ Zeige Kategorien

Neuer Magento Security-Patch SUPEE-6788

Update: Hier geht’s zum Magento Security Patch SUPEE-7405 (Jänner 2016)

Gestern Abend hat Magento einen neuen Magento Security-Patch SUPEE-6788 veröffentlicht. Die Lücken, die dabei geschlossen werden, haben nichts mit der Sucuri-Malware zu tun, über die in verschiedenen Medien berichtet wurde.

Die gute Nachricht zuerst: Derzeit sind keine Angriffe bekannt, welche die Schwachstellen ausnutzen, die mit diesem Patch geschlossen werden. Damit das auch so bleibt, sollten die Magento Shops möglichst rasch aktualisiert d.h. gepatched oder upgedated werden.

Die schlechte Nachricht: Einige dieser Änderungen sind nicht rückwärtskompatibel und erfordern, dass auch einige Extensions aktualisiert werden, die eine veraltete Version der Funktionsweise im Admin-Bereich verwenden. Das macht den Patch je nach eingesetzten Extensions aufwendiger, als vorangegangene Patches.

Magento bietet zwar vorübergehend eine Option mit dem Patch an, diese Kompatibilität wieder zu aktivieren, allerdings ist damit auch die Schwachstelle weiterhin ausnutzbar. Für einen sicheren Shop ist es also erforderlich, die betroffenen Extensions rasch zu aktualisieren.

Die genauen Details zu den neuen Schwachstellen finden sich im Magento Security-Center, hier ein kurzer Überblick:

  • Error Reporting in Setup Exposes Configuration – APPSEC-1102
    Typ: Information Leakage (Internal)
    CVSSv3 Schweregrad: 7.5 (High)
  • Filter Directives Can Allow Access to Protected Data – APPSEC-1057
    Type: Information Leakage
    CVSSv3 Schweregrad: 7.5 (High)
  • XXE/XEE attack on Zend XML functionality using multibyte payloads – APPSEC-1045
    Typ: XXE/XEE (XML Injection)
    CVSSv3 Schweregrad: 7.5 (High)
  • Potential SQL Injection in Magento Core Model Based Classes – APPSEC-1063
    Type: SQL Injection
    CVSSv3 Schweregrad: 7.4 (High)
  • Potential remote code execution using Cron – APPSEC-1037
    Type: Remote Code Execution (RCE)
    CVSSv3 Schweregrad: 7.2 (High)
  • Remote Code Execution/Information Leak Using File Custom Option – APPSEC-1079
    Type: Remote Code Execution/Information Leak
    CVSSv3 Schweregrad: 6.5 (Medium)
  • Cross site scripting with error messages – APPSEC-1039
    Type: Cross-site Scripting (CSS) – reflected
    CVSSv3 Schweregrad: 6.1 (Medium)
  • Potential remote code execution using error reports and downloadable products – APPSEC-1032
    Type: Remote Code Execution (RCE)
    CVSSv3 Schweregrad: 6.1 (Medium)
  • Admin Path Disclosure – APPSEC-1034
    Typ: Information Leakage (Internal)
    CVSSv3 Schweregrad: 5.3 (Medium)
  • Insufficient Protection of Password Reset Process – APPSEC-1027
    Type: Account Takeover
    CVSSv3 Schweregrad: 3.8 (Low)
  • Dev Folder Not Protected – APPSEC-1124
    Type: Information Leakage (Internal)
    CVSSv3 Schweregrad: 0.0 (None)
  • Für alle Magento Community Editionen vor Version 1.9.2.1: Cross-site Scripting/Cache Poisoning – APPSEC-1030
    Type: Cross-site Scripting (XSS) – Stored / Cache Poisoning
    CVSSv3 Schweregrad: 9.3 (Critical)

LimeSoda patched die Shops im Rahmen der Wartungsvereinbarungen mit den Kunden automatisch.

Falls Sie Fragen zu diesem Sicherheitsupdate bzw. auch zu den betroffenen Extensions haben, kontaktieren Sie uns!

 

 

Kommentare

  • Wer am Mac sitzt kann einfach die Konsole nutzen:
    ssh user@domain.de -p 222 (-p Port)

    Dann einfach Passwort für „user“ eingeben und wie oben schon beschrieben ins Magento-Directory gehen und den Patch starten. Cache leeren, fertig!

    Antworten
    • Grundsätzlich ja. Allerdings muss man, je nach Shopinstallation:

      * die Extensions überprüfen, ob die Admin-Routen kompatibel sind
      * wenn die Extensions aktualisiert wurden bzw. kompatibel sind, den Kompatibilitätsmodus deaktivieren
      * Blöcke whitelisten
      * das Ganze nach dem Update natürlich entsprechend testen und kontrollieren

      Wenn man nicht viele Extensions installiert hat (und diese im Idealfall kompatibel sind) und wenig Anpassungen gemacht hat, geht das natürlich bedeutend schneller :)

      Antworten

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Anna Völkl

Verpasse nicht den nächsten Blog-Post von Anna!

Jetzt zum LimeSoda-Newsletter anmelden