Jetzt beraten lassen!

SCHREIBEN SIE UNS!

Ihre Vorteile:

  • Telefonische Erstanalyse Ihrer Website
  • Beratung durch erfahrene Online-Marketing-Experten
  • Unverbindliches Gespräch

* Ich habe die Datenschutzerklärung gelesen und erkläre mich damit einverstanden, dass die von mir im Kontaktformular eingegebenen Daten elektronisch erhoben und gespeichert werden.

Bitte lasse dieses Feld leer.

Sicherheitslücken in Magento: bin ich betroffen?

05.01.2013

Im Jahr 2012 ging Magento in die Offensive und brachte einen Patch heraus, mit dem eine empfindliche Sicherheitslücke geschlossen werden konnte. Mit diesem Patch sollen Online-Händler verhindern, dass sich Dritte über die XML-RPC-Schnittstelle Zugang zu den Dateien des Online-Shops verschaffen können.

Leserechte ohne Zugangsdaten – wer ist betroffen

Jeder Online-Shop, der die XML-RPC-Schnittstelle aktiviert hat und bei dem der Magento Patch nicht ausgeführt wurde, ist angreifbar. Ohne entsprechende Sicherungsmaßnahmen haben Dritte Zugang zu allen wichtigen Dateien des Online-Shops, zu Passwörtern und Datenbanken. Eindringlinge besitzen zu Beginn zwar nur Leserechte, sie können sich aber durch das Auslesen der entsprechenden Zugangsdaten schnell Administratorenrechte verschaffen.

Wie kann die Sicherheitslücke geschlossen werden?

Mit dem Einspielen des von Magento zur Verfügung gestellten Patches wird die Sicherheitslücke geschlossen und ein unerlaubtes Eindringen über die XML-RPC-Schnittstelle ist nicht mehr möglich. Auch Updates auf Magento CE 1.7.0.2 und. Magento EE 1.12.0.2 lassen unliebsame Besucher draußen, da hier der Patch bereits integriert ist. Wer auf keine der beiden Möglichkeiten zurückgreifen kann oder will, dem steht es offen, die entsprechenden Dateien manuell zu ändern.

Alle diese Änderungen lassen sich aber erst ab PHP 5.2.11 durchführen. Wer auf seinem Webserver mit älteren Versionen arbeitet, muss entweder upgraden oder auf die Benutzung der XML-RPC-Schnittstelle verzichten.

Wie kam es zu der gravierenden Sicherheitslücke?

Schuld ist in diesem Fall nicht Magento selbst, sondern die Code-Bibliothek Zend Framework. Nachdem die Schwachstelle durch die österreichische SEC Consult an Zend gemeldete wurde, machte man sich dort unverzüglich an die Schließung der Sicherheitslücke.

Weitere Artikel:

Services | 03.01.2019

Die Löwenstark Online-Marketing GmbH zählt in dem Ranking von FOCUS-BUSINESS zu den Top-Arbeitgebern Mittelstand 2019. Wir sind damit Teil der bundesweiten Top-40-Arbeitgeber Mittelstand in der Kategorie „Medien, Marketing, PR“. Um…

Services | 05.12.2018

Braunschweig, 05.12.2018. Zum Weihnachtsfest macht die Löwenstark Gruppe seit drei Jahren immer ein ganz besonderes Geschenk: Marian Wurm, Geschäftsführer der Löwenstark Gruppe, überreicht einen Spendenscheck im Wert von 5.555€ an…

Google-Adwords | 18.10.2017

Bereits zum fünften Mal veranstaltet die Löwenstark zusammen mit Google das AdWords Event, zu dem bereits 100 Anmeldungen vorliegen. Ziel des Events ist es, sowohl kleinen als auch großen Unternehmen…