Sicherheitslücken in Magento: bin ich betroffen?

05.01.2013

Im Jahr 2012 ging Magento in die Offensive und brachte einen Patch heraus, mit dem eine empfindliche Sicherheitslücke geschlossen werden konnte. Mit diesem Patch sollen Online-Händler verhindern, dass sich Dritte über die XML-RPC-Schnittstelle Zugang zu den Dateien des Online-Shops verschaffen können.

Leserechte ohne Zugangsdaten – wer ist betroffen

Jeder Online-Shop, der die XML-RPC-Schnittstelle aktiviert hat und bei dem der Magento Patch nicht ausgeführt wurde, ist angreifbar. Ohne entsprechende Sicherungsmaßnahmen haben Dritte Zugang zu allen wichtigen Dateien des Online-Shops, zu Passwörtern und Datenbanken. Eindringlinge besitzen zu Beginn zwar nur Leserechte, sie können sich aber durch das Auslesen der entsprechenden Zugangsdaten schnell Administratorenrechte verschaffen.

Wie kann die Sicherheitslücke geschlossen werden?

Mit dem Einspielen des von Magento zur Verfügung gestellten Patches wird die Sicherheitslücke geschlossen und ein unerlaubtes Eindringen über die XML-RPC-Schnittstelle ist nicht mehr möglich. Auch Updates auf Magento CE 1.7.0.2 und. Magento EE 1.12.0.2 lassen unliebsame Besucher draußen, da hier der Patch bereits integriert ist. Wer auf keine der beiden Möglichkeiten zurückgreifen kann oder will, dem steht es offen, die entsprechenden Dateien manuell zu ändern.

Alle diese Änderungen lassen sich aber erst ab PHP 5.2.11 durchführen. Wer auf seinem Webserver mit älteren Versionen arbeitet, muss entweder upgraden oder auf die Benutzung der XML-RPC-Schnittstelle verzichten.

Wie kam es zu der gravierenden Sicherheitslücke?

Schuld ist in diesem Fall nicht Magento selbst, sondern die Code-Bibliothek Zend Framework. Nachdem die Schwachstelle durch die österreichische SEC Consult an Zend gemeldete wurde, machte man sich dort unverzüglich an die Schließung der Sicherheitslücke.

Weitere Artikel:

Google-Adwords | 18.10.2017

Bereits zum fünften Mal veranstaltet die Löwenstark zusammen mit Google das AdWords Event, zu dem bereits 100 Anmeldungen vorliegen. Ziel des Events ist es, sowohl kleinen als auch großen Unternehmen…

Services | 02.05.2017

Nachdem die Löwenstark Gruppe vor fünf Jahren seinen zweiten Standort Halle (Saale) gegründet und bis zum jetzigen Zeitpunkt erfolgreich auf Wachstumskurs bringen konnte, expandiert das Unternehmen weiter in einer strategisch…

Google-Adwords | 27.04.2017

Bereits zum dritten Mal durften die SEA-Experten aus unserem Löwenrudel zu Gast bei Google in Hamburg sein. Marcel Krüger, Teamleiter SEA der Löwenstark und Martina Gallova, Google Agency Development Manager…