[av_textblock size=“ font_color=“ color=“]
Kürzlich wurde bekannt, dass es eine neue Sicherheitslücke in der beliebten Shopsoftware Magento gibt, die schon seit Monaten ausgenutzt werden kann. Bis jetzt ist noch kein Patch verfügbar, der diese Lücke schließt. Lesen Sie hier, wie Sie sich schützen können.
Magento Sicherheitslücke: schon lange bekannt
Die Sicherheitsexperten von Defensecode haben bereits im November des vergangenen Jahres eine Sicherheitslücke in Version 2 der beliebten Shopsoftware entdeckt und die Entwickler der Software umgehend darüber informiert. Die mit dem Namen „Magento Arbitrary File Upload Vulnerability“ getaufte Lücke kann dazu genutzt werden, um eigenen Code auf dem Server des Opfers auszuführen.
Trotz Bestätigung seitens Magento wurde jedoch bis heute kein Patch veröffentlicht, der diese Lücke schließt. Durch die Bekanntmachung und den öffentlichen Druck wurde erst jetzt ein Patch angekündigt, der in den nächsten Wochen zum Download bereit gestellt werden soll.
Wie funktioniert der Angriff?
Der Angriff bezieht sich auf eine Standard-Funktion in der Community Edition von Magento ab Version 2, die es Administratoren erlaubt, Vimeo-Videos zu den Artikelbeschreibungen eines Artikels hinzuzufügen, so der Sicherheits-News Dienst Threadpost von Kaspersky.
Obwohl die Anwendung in diesem Fall eine Fehlermeldung zurückgibt, wird die Datei zu Validierungszwecken trotzdem heruntergeladen und in einem Verzeichnis auf dem Webserver gespeichert. Lässt man das System so eine präparierte .htaccess-Datei herunterladen, kann so die Ausführung von eigenen PHP-Scripts ermöglicht werden.
Wie kann die Lücke geschlossen werden?
Um die Möglichkeit eines solchen Cross-Site Request Forgerie Angriffs (CSRF/XSRF) generell auszuschließen, kann die Option „Secret Key zu URLs hinzufügen“ im Magento Backend aktiviert werden. Dadurch ist es Angreifern nicht mehr möglich, eigenen Code auf der Website auszuführen, ohne Zugriff auf das Shopsysetem zu haben. Dazu navigieren Sie im Magento Backend zu System -> Konfiguration -> Erweitert -> Admin und klappen den Bereich „Sicherheit“ des Akkordions auf.
Magento selbst berichtet, dass es noch keine Angriffe über diese Sicherheitslücke gegeben haben soll. Trotzdem sind mehr als 200.000 Shopbetreiber betroffen und durch das Bekanntmachen der Lücke nun umso mehr gefährdet. Neben der Installation von Malware auf den Servern der Shopbetreiber könnten z.B. auch Inhalte aus der Datenbank entwendet- oder kompromittiert werden.
[/av_textblock]
[av_sidebar widget_area=’Beitragsende – Magento‘]
Schreibe einen Kommentar