t3n News E-Commerce

Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Das weit verbreitete Open-Source-Shopsystem hat eine schwerwiegende , die Millionen von E-Commerce-Websites bedrohen soll.

Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Magento. (Foto: Magento)

Millionen Magento-Websites lassen sich per Javascript-Exploit kapern

Wie Sucuri berichtet, sind von der Sicherheitslücke nahezu alle Magento-Versionen betroffen – von Magento-Community-Editions, die jünger als 1.9.2.3 sind, bis zur Magento-Enterprise-Edition unterhalb von Version 1.14.2.3. Es handele sich bei dem Fehler um eine „Stored-Cross-Site-Scripting“-Sicherheitslücke (XSS), durch die die Magento-Plattform aus der Ferne leicht angegriffen werden kann. Angreifer können durch einen manipulierten Javascript-Code, der über das Kunden-Registrierungsformular eingeschleust wird, den kompletten Server übernehmen, auf dem ausgeführt wird, so Sucuri.

Der fehlerhafte Code befinde sich in den Magento-Core-Libraries – konkret im Admin-Backend. Sofern man sich nicht hinter einer Website-Firewall (WAF) befände oder ein stark modifiziertes Admin-Panel besitze, sei die Magento-Installation gefährdet. Da es sich bei der Sicherheitslücke um einen Stored-XSS-Bug handelt, könnten Angreifer den kompletten Webshop übernehmen, neue Admin-Konten anlegen und auch Kundendaten abgreifen.

Magento-Sicherheitslücke: Was ist zu tun?

Security-Blog-Magento-Patch
Magento hat schon einen Security-Patch für die XSS-Store-Lücke veröffentlicht. (Bild: Magento)

Wie schon erwähnt, könnt ihr eure Magento-Shops schützen, indem ihr eine Firewall installiert. Auf diesem Weg könnt ihr euren Shop absichern, falls ihr nicht auf die Schnelle auf eine aktuellere Magento-Version updaten könnt.

Alternativ könnt ihr den SUPEE-7405-Patch installieren, den Magento bereitgestellt hat. Hierbei handelt es sich im Grunde genommen um ein Patch-Bundle, das gleich mehrere sicherheitsrelevante Probleme beheben soll. Der Bug wird von Magento als „kritisch“ eingestuft. Es ist daher empfohlen, schnell zu reagieren.

via arstechnica.com

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
9 Antworten
  1. von grep am 26.01.2016 (12:56 Uhr)

    Hallo ...,


    stark exponierte Systeme sind leider immer auch stark verwundbar ... nur kann / möchte man auf solche Software nicht immer verzichten - sollte dies aber immer dann tun wenn es sich anbietet resp. möglich ist.


    Ciao, Sascha.

    Antworten Teilen
    • von klein0r am 27.01.2016 (11:37 Uhr)

      Gerade durch OpenSource und die weite Verbreitung werden solche Sicherheitslücken aber gepatcht und öffentlich. Schreibst Du etwas selbst, wird die Lücke womöglich ausgenutzt ohne dass Du es jemals merkst.

      Gut, jetzt könnte man natürlich sagen, dass sich ein allgemeiner Angriff erst wegen der weiten Verbreitung lohnt. Das ist auch richtig :)

      Jedenfalls steht seit Tagen ein Patch bereit, und Magento hat per Newsletter informiert. Also muss man nur fix handeln ...

      Antworten Teilen
  2. von Automatisierte Kontrollen am 26.01.2016 (14:36 Uhr)

    Es gibt den TÜV oder Gewerbeaufsicht und Lebensmittelkontrolle. Für Webserver sollte es sowas auch geben.
    Man hostet überwiegend ja nicht zu Hause sondern meist bei Hostern. So gesehen hat man dort einheitliche Ansprechpartner.
    Auch Botnetze könnte man damit trockenlegen denn die probieren ja bestimmte Lücken zu finden wie man im Error-Log sehen kann. Leider kann man die nicht Google melden und auch die sind nicht wirklich super-aktiv bei der Botnetz-Trockenlegung.

    Antworten Teilen
    • von klein0r am 27.01.2016 (11:33 Uhr)

      Der TÜV ist wohl aktiv bei Webshops. Man kann sich also zertifizieren lassen. Die Frage ist, was das am Ende bringt. Wir haben mehrere Kunden die das gemacht haben, um dem Kunden ein Gefühl von Sicherheit zu geben. Aber den Code hat der TÜV dafür auch nie gesehen.

      Geht auch gar nicht. Um eine komplette Analyse von so einem komplexen Shop zu machen, müsste man Jahre aufwenden. Magento hat weit über 10.000 Dateien. Und der Fehler hier ist jetzt nach etlichen Jahre das erste Mal aufgefallen.

      Antworten Teilen
  3. von grep am 26.01.2016 (16:40 Uhr)

    Hallo 'Automatisierte Kontrollen',


    ein Gros von (Ro)Bot-Netzen besteht aus infiltrierten MS-Rechnern und 'Open-Relay'-E-Mail-Servern !

    Ohne MS gäbe es folglich vermutlich weniger SPAM; MS-Systeme sind primär auf einfache, selbsterklärende Benutzbarkeit ausgelegt ... zu Lasten der Sicherheit ... denn MS-Nutzer sind oft technisch unbedarft; sie müssen sich um die systeminternen Abläufe nicht wirklich kümmern.

    Unter unixoiden System muss der Nutzer schon it-affin sein - verstehen können und wollen was im Hintergrund geschieht.


    Ciao, Sascha.

    Antworten Teilen
  4. von Automatisierte Kontrollen am 27.01.2016 (11:24 Uhr)

    Dem Endkunden ist es egal was dahinter läuft. Er will das sein Webshop läuft. Der administriert nicht auf Kommandozeile und sucht die passende Distro aus wie die Nerds bei Criminal Minds oder anderen TV-Serien.

    Und IT ist sowieso schon oft zu teuer.

    http://t3n.de/news/sicherheitsrisiko-smart-home-internet-der-dinge-600361/
    http://t3n.de/news/florin-talpes-bitdefender-interview-671826/
    Diese durchschnittlich 14 Geräte im deutschen Haushalt sind nicht alle Wintel. Nur waren Kühlschrank, Heizung, Klima-Anlage usw. bisher von aussen halt eher schlecht erreichbar.
    WinPhone-Viren sind auch recht uninteressant weil es kaum jemand hat bzw. benutzt und Android und iOS viel größere Verbreitung haben.

    http://t3n.de/news/suchmaschine-internet-dinge-672969/

    Da Hacker/Cracker/...-Software oft schlanker, kleiner, besser, modularer usw. geschrieben ist als viele teure Business-Software, lauert die Verseuchung bald überall und halt nicht mehr überwiegend auf Wintel.

    Wenn der Fachkräftemangel wirklich so groß wäre, würden die ja nicht für die Böse Seite programmieren...

    Weil das Thema nur die Opfer interessiert und manche FreeMail-Anbieter vielleicht lieber viel Traffic für unnützen Spam verschwenden, werden Botnetze leider immer mehr :-(
    Und Spam ist halt nur ein Einsatz-Zweck:
    http://t3n.de/news/ddos-atacken-angriff-674493/

    Und bevor man einen dank Netflix, Raubkopien-Downloadern usw. überlasteten Home-Router mit sowieso zu wenig Upload-Speed in den USA (dort ist DSL oft genug verhasst und langsam) befällt, nimmt man vielleicht lieber eine frisch infizierte Magento-Installation in einem gut angebundenen Rechenzentrum.
    Rootkits für Linux gibts schon ewig. Und Verbrecher im TV klauen ja keinen Tretroller sondern einen Ferrari oder Kleinbus oder was die grade brauchen.

    Antworten Teilen
  5. von grep am 27.01.2016 (14:36 Uhr)

    Hallo 'Automatisierte Kontrollen',


    Ansichtssache (!); mit meinem vorhergegangenen Kommentar wollte ich zum Ausdruck bringen dass die Sicherheitspolitik und Anwenderaffinität von MS-Systemen zu unixoiden OS stark differiert.

    Das OS 'Android' hat das unixoide Sicherheitskonzept teilweise (z. B. in Bezug auf die Installationsroutine) an die der MS-Systeme adaptiert - dass ist das Problem.


    Ciao, Sascha.

    Antworten Teilen
  6. von grep am 27.01.2016 (14:47 Uhr)

    Hallo klein0r,


    ich wollte herausstellen dass es durchaus Sinn machen kann auf bestimmte Software zu verzichten resp. Software / Abläufe weitestgehend trivial zu konzipieren.

    Natürlich kann man populäre Software auch entsprechend modifizieren und / oder tarnen.
    Niemand ist wirklich vor DDoS und Exploits sicher, auch und gerade nicht relevante Konzerne / Behörden, etc. !


    Ciao, Sascha.

    Antworten Teilen
  7. von Tobi am 29.01.2016 (10:07 Uhr)

    Hallo,

    das Publizieren der Nachricht an sich (es gibt eine Sicherheitslücke, Patcht eure Shops) kann ich nur begrüßen. Alles rundherum glänzt leider durch völlige Ahnungslosigkeit.
    Wie soll beispielsweise eine Firewall gegen "Stored-XSS-Bugs" helfen? Indem der Shop offline genommen wird? Wäre wohl eine etwas übertriebene Maßnahme.
    Ebenso habe ich ein Problem mit der Formulierung des Satzes "Da es sich bei der Sicherheitslücke um einen Stored-XSS-Bug handelt, könnten Angreifer den kompletten Webshop übernehmen [...]". Diese XSS-Lücke kann dazu ausgenutzt werden, andere eignen sich dazu nicht - eine Generalisierung ist hier also völlig verkehrt.

    - Tobi

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Magento
Zurück zum stationären Handel: Facebook will sich nicht nur auf E-Commerce verlassen
Zurück zum stationären Handel: Facebook will sich nicht nur auf E-Commerce verlassen

Facebook führt ein neues Werbeformat ein, mit dem Händler wissen, ob User aufgrund einer Werbung in den Laden kommen. Wie damit alle Retail-Kanäle verschmelzen sollen, erklärt Kai Herzberger, … » weiterlesen

PR, Online-Marketing, E-Commerce oder Redaktion: 24 neue Stellen für Webworker
PR, Online-Marketing, E-Commerce oder Redaktion: 24 neue Stellen für Webworker

Zweimal pro Woche verweisen wir hier auf aktuelle und interessante Jobangebote aus unserer Stellenbörse „t3n Jobs“. Heute können wir euch 24 Angebote aus den Bereichen „Marketing“ und … » weiterlesen

E-Commerce: Wie du deinen Shop für Kunden zum Erlebnis machst
E-Commerce: Wie du deinen Shop für Kunden zum Erlebnis machst

Wenn es ein Thema gibt, bei dem der stationäre Handel dem E-Commerce gegenüber noch deutlich die Nase vorn hat, dann ist es der Event-Charakter des Einkaufens. Deshalb sollten sich auch … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?