Vergangenen Dienstag hat Magento neue Versionen von Magento Commerce und Open Source veröffentlicht, um die Sicherheit, Leistung und Funktionalität zu erhöhen. Die Updates sollten, nein müssen, schnellstmöglich eingespielt werden.
Mehr lesen
Magento Commerce und Open Source 2.2.3, 2.1.12 und 2.0.18 enthalten mehrere Sicherheitsverbesserungen, die Cross-Site Scripting (XSS), authentifizierte Remotecodeausführung (RCE) von Admin-Benutzern und andere Sicherheitslücken schließen. Die Releases enthalten zusätzliche funktionale Fixes. Um mehr über die funktionalen Fixes zu erfahren, lesen Sie bitte Release Notes für Magento Commerce 2.0.18, 2.1.12, 2.2.3 und Magento Open Source 2.0.18, 2.1.12, 2.2.3.
Der Magento Patch SUPEE–7405 umfasst mehrere Patches für die Magento Versionen 1.x, der mehrere sicherheitsrelevante Probleme löst. Die Einzelheiten über die Schwachstellen die dieser Patch behebt, sind unten aufgelistet. Wer bereits die Magento CE Version 1.9.2.3 benutzt, benötigt diesen Patch nicht.
Magento hat vor kurzem einen Patch bereit gestellt (SUPEE–6788) der mehrere Sicherheitslücken schließt, einschließlich einer Lücke im Zend Framework. Über diese Lücke ist es einem Angreifer möglich auf Systemdateien zuzugreifen.
Wie hier und in vielen anderen Blogs und Nachrichtenprotalen zu lesen war ist Magento von einem remote code execution exploit betroffen. Allerdings sind bis heute immer noch 73.392 Magento Shops von dieser Sicherheitslücke bedroht.
Wie beriets am 6. Juni im Artikel „Wichtiges Sicherheitsupdate der Zend Plattform“ beschrieben, gab gibt es im Zend-Framework, auf dem Magento aufsetzt eine Sicherheitslücke.
Die Sicherheitslücke erlaubt einem Angreifer möglicherweise beliebige Dateien auf dem Web-Server, wo die Zend XMLRPC-Funktion aktiviert ist zu lesen. Dies könnten Passwort-Dateien, Konfigurationsdateien, und möglicherweise sogar Datenbanken sein, wenn sie auf der gleichen Maschine wie der Magento Web-Server gespeichert werden.
Wie gestern im Magento Blog belannt gemacht, gibt es im Zend Framework eine Sicherheitslücke. Für verschiedene Versionen gibt es verschiedenen Patches:
Die Magento Enterprise und Professional Edition bieten den Patch-Download im jeweiligen Mitlgieder-Login an um die Sicherheitslücke für diese Editionen zu schließen.
Wichtiger Hinweis: der Patch funktioniert erst ab PHP 5.2.11. Davor gibt es diese Funktion nicht!
Wer nicht genau weiß, wie man die Dateien patched, kann sich bereits gepatchte Dateien auf dem Blog von Sonassi runterladen.
Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.