Wie beriets am 6. Juni im Artikel „Wichtiges Sicherheitsupdate der Zend Plattform“ beschrieben, gab gibt es im Zend-Framework, auf dem Magento aufsetzt eine Sicherheitslücke.
Die Sicherheitslücke erlaubt einem Angreifer möglicherweise beliebige Dateien auf dem Web-Server, wo die Zend XMLRPC-Funktion aktiviert ist zu lesen. Dies könnten Passwort-Dateien, Konfigurationsdateien, und möglicherweise sogar Datenbanken sein, wenn sie auf der gleichen Maschine wie der Magento Web-Server gespeichert werden.
Zend-Lücke in Magento bei Shop-Betreibern offenbar weitgehend unbekannt
Wie viele Blogs und Nachrichtenseiten berichten, haben einige Shops noch immer nicht das Update eingespielt. So sind Berichte zu finden wie Magento-Shops durch Zend-Lücke angreifbar (Heise.de), Viele Magento-Shops ungepatcht und angreifbar (Golem.de), Zend-Lücke in Magento offenbar weitgehend unbekannt bei Shop-Betreibern (Nakami Lounge) und Magento-Shopsysteme einfach ausspionieren (Semsation.de).
Das Update ist nun gut einen Monat verfügbar. Viele Shops scheinen die Sicherheitslücke nicht ernst zu nehmen oder haben keine Resourcen um das Update einzuspielen. Dennoch sollte man die Sicherheit des eigenen Shops gewährleisten und die Software stets aktuell halten.