Alle Magento Versionen von einer kritischen Sicherheitslücke betroffen

Bereits am 09. Februar 2015 hat das Magento Team einen Patch bereit gestellt, um eine Sicherheitslücke im Magento Core zu schliessen. Viele Blogs und Webseiten sind erst vor Kurzem darauf aufmerksam geworden. Detaillierte Infos zum Patch sucht man allerdings vergebens. Wir berichteten bereits darüber: „Magento warnt vor remote code execution exploit„, möchten aber jetzt nochmal ein Update geben.

Sicherheitslücke erlaubt Zugriff auf Server

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt, mit dieser es einem Angreifer möglich ist Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern.

Magento Versionen 1.4 bis 1.9 betroffen

Der Patch „SUPEE-5344 – Addresses a potential remote code execution exploit“ ist für alle Magento Versionen verfügbar. Der Patch sollte schnellstmöglich eingespielt werden, sofern er das noch nicht ist.

Magento Patch einspielen

Es gibt drei Möglichkeiten den Patch einzuspielen. Im rack::SPEED Blog finden sich dazu zwei Anleitungen:

Einspielen des Magento-Patches per SSH:

1. Download des passenden Patches von Magentocommerce.com (ganz unten)
2. Upload des Patches in den Ordner public_html
3. sh PATCH-DATEINAME.sh
4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

1. Download des passenden Patches von Magentocommerce.com (ganz unten)
2. Öffnen des Patches im Texteditor
3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Eine weitere Möglichkeit wurde im Commercers Blog veröffentlicht, nämlich die Shellbefehle per PHP ausführen zu lassen (funktioniert nicht auf allen Serverumgebungen):

Einspielen des Patches mit SSH über PHP:

1. Download des passenden Patches von Magentocommerce.com (ganz unten)
2. Erstellen einer PHP Datei mit dem Name patch.php
3. Folgenden Inhalt einfügen:

   <?php $shellBefehl = "sh patch.sh";
   $shellBefehl = escapeshellcmd($shellBefehl);
   exec($shellBefehl,$nu);
   print_r($nu);
   ?>

4. Die erstellte patch.php zusammen mit der heruntergeladenen patch.sh Datei ins Root-Verzeichnis des Shops kopieren
5. Die patch.php Datei über den Browser aufrufen, also z.B. www.mein-shop.de/patch.php
6. Fehler- oder Erfolgsmeldung erscheint
7. Beide Dateien wieder vom Server löschen

Autor

Sebastian

Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.