Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

Magento: XSS-Sicherheitslücke bedroht Millionen Shops

    Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Magento. (Foto: Magento)

Das weit verbreitete Open-Source-Shopsystem Magento hat eine schwerwiegende Sicherheitslücke, die Millionen von E-Commerce-Websites bedrohen soll.

Millionen Magento-Websites lassen sich per Javascript-Exploit kapern

Wie Sucuri berichtet, sind von der Sicherheitslücke nahezu alle Magento-Versionen betroffen – von Magento-Community-Editions, die jünger als 1.9.2.3 sind, bis zur Magento-Enterprise-Edition unterhalb von Version 1.14.2.3. Es handele sich bei dem Fehler um eine „Stored-Cross-Site-Scripting“-Sicherheitslücke (XSS), durch die die Magento-Plattform aus der Ferne leicht angegriffen werden kann. Angreifer können durch einen manipulierten Javascript-Code, der über das Kunden-Registrierungsformular eingeschleust wird, den kompletten Server übernehmen, auf dem Magento ausgeführt wird, so Sucuri.

Der fehlerhafte Code befinde sich in den Magento-Core-Libraries – konkret im Admin-Backend. Sofern man sich nicht hinter einer Website-Firewall (WAF) befände oder ein stark modifiziertes Admin-Panel besitze, sei die Magento-Installation gefährdet. Da es sich bei der Sicherheitslücke um einen Stored-XSS-Bug handelt, könnten Angreifer den kompletten Webshop übernehmen, neue Admin-Konten anlegen und auch Kundendaten abgreifen.

Magento-Sicherheitslücke: Was ist zu tun?

Security-Blog-Magento-Patch
Magento hat schon einen Security-Patch für die XSS-Store-Lücke veröffentlicht. (Bild: Magento)

Wie schon erwähnt, könnt ihr eure Magento-Shops schützen, indem ihr eine Firewall installiert. Auf diesem Weg könnt ihr euren Shop absichern, falls ihr nicht auf die Schnelle auf eine aktuellere Magento-Version updaten könnt.

Alternativ könnt ihr den SUPEE-7405-Patch installieren, den Magento bereitgestellt hat. Hierbei handelt es sich im Grunde genommen um ein Patch-Bundle, das gleich mehrere sicherheitsrelevante Probleme beheben soll. Der Bug wird von Magento als „kritisch“ eingestuft. Es ist daher empfohlen, schnell zu reagieren.

via arstechnica.com

Finde einen Job, den du liebst

9 Reaktionen
Tobi
Tobi

Hallo,

das Publizieren der Nachricht an sich (es gibt eine Sicherheitslücke, Patcht eure Shops) kann ich nur begrüßen. Alles rundherum glänzt leider durch völlige Ahnungslosigkeit.
Wie soll beispielsweise eine Firewall gegen "Stored-XSS-Bugs" helfen? Indem der Shop offline genommen wird? Wäre wohl eine etwas übertriebene Maßnahme.
Ebenso habe ich ein Problem mit der Formulierung des Satzes "Da es sich bei der Sicherheitslücke um einen Stored-XSS-Bug handelt, könnten Angreifer den kompletten Webshop übernehmen [...]". Diese XSS-Lücke kann dazu ausgenutzt werden, andere eignen sich dazu nicht - eine Generalisierung ist hier also völlig verkehrt.

- Tobi

Antworten
grep

Hallo klein0r,

ich wollte herausstellen dass es durchaus Sinn machen kann auf bestimmte Software zu verzichten resp. Software / Abläufe weitestgehend trivial zu konzipieren.

Natürlich kann man populäre Software auch entsprechend modifizieren und / oder tarnen.
Niemand ist wirklich vor DDoS und Exploits sicher, auch und gerade nicht relevante Konzerne / Behörden, etc. !

Ciao, Sascha.

Antworten
grep

Hallo 'Automatisierte Kontrollen',

Ansichtssache (!); mit meinem vorhergegangenen Kommentar wollte ich zum Ausdruck bringen dass die Sicherheitspolitik und Anwenderaffinität von MS-Systemen zu unixoiden OS stark differiert.

Das OS 'Android' hat das unixoide Sicherheitskonzept teilweise (z. B. in Bezug auf die Installationsroutine) an die der MS-Systeme adaptiert - dass ist das Problem.

Ciao, Sascha.

Antworten
Automatisierte Kontrollen
Automatisierte Kontrollen

Dem Endkunden ist es egal was dahinter läuft. Er will das sein Webshop läuft. Der administriert nicht auf Kommandozeile und sucht die passende Distro aus wie die Nerds bei Criminal Minds oder anderen TV-Serien.

Und IT ist sowieso schon oft zu teuer.

http://t3n.de/news/sicherheitsrisiko-smart-home-internet-der-dinge-600361/
http://t3n.de/news/florin-talpes-bitdefender-interview-671826/
Diese durchschnittlich 14 Geräte im deutschen Haushalt sind nicht alle Wintel. Nur waren Kühlschrank, Heizung, Klima-Anlage usw. bisher von aussen halt eher schlecht erreichbar.
WinPhone-Viren sind auch recht uninteressant weil es kaum jemand hat bzw. benutzt und Android und iOS viel größere Verbreitung haben.

http://t3n.de/news/suchmaschine-internet-dinge-672969/

Da Hacker/Cracker/...-Software oft schlanker, kleiner, besser, modularer usw. geschrieben ist als viele teure Business-Software, lauert die Verseuchung bald überall und halt nicht mehr überwiegend auf Wintel.

Wenn der Fachkräftemangel wirklich so groß wäre, würden die ja nicht für die Böse Seite programmieren...

Weil das Thema nur die Opfer interessiert und manche FreeMail-Anbieter vielleicht lieber viel Traffic für unnützen Spam verschwenden, werden Botnetze leider immer mehr :-(
Und Spam ist halt nur ein Einsatz-Zweck:
http://t3n.de/news/ddos-atacken-angriff-674493/

Und bevor man einen dank Netflix, Raubkopien-Downloadern usw. überlasteten Home-Router mit sowieso zu wenig Upload-Speed in den USA (dort ist DSL oft genug verhasst und langsam) befällt, nimmt man vielleicht lieber eine frisch infizierte Magento-Installation in einem gut angebundenen Rechenzentrum.
Rootkits für Linux gibts schon ewig. Und Verbrecher im TV klauen ja keinen Tretroller sondern einen Ferrari oder Kleinbus oder was die grade brauchen.

Antworten
grep

Hallo 'Automatisierte Kontrollen',

ein Gros von (Ro)Bot-Netzen besteht aus infiltrierten MS-Rechnern und 'Open-Relay'-E-Mail-Servern !

Ohne MS gäbe es folglich vermutlich weniger SPAM; MS-Systeme sind primär auf einfache, selbsterklärende Benutzbarkeit ausgelegt ... zu Lasten der Sicherheit ... denn MS-Nutzer sind oft technisch unbedarft; sie müssen sich um die systeminternen Abläufe nicht wirklich kümmern.

Unter unixoiden System muss der Nutzer schon it-affin sein - verstehen können und wollen was im Hintergrund geschieht.

Ciao, Sascha.

Antworten
Automatisierte Kontrollen
Automatisierte Kontrollen

Es gibt den TÜV oder Gewerbeaufsicht und Lebensmittelkontrolle. Für Webserver sollte es sowas auch geben.
Man hostet überwiegend ja nicht zu Hause sondern meist bei Hostern. So gesehen hat man dort einheitliche Ansprechpartner.
Auch Botnetze könnte man damit trockenlegen denn die probieren ja bestimmte Lücken zu finden wie man im Error-Log sehen kann. Leider kann man die nicht Google melden und auch die sind nicht wirklich super-aktiv bei der Botnetz-Trockenlegung.

Antworten
klein0r
klein0r

Der TÜV ist wohl aktiv bei Webshops. Man kann sich also zertifizieren lassen. Die Frage ist, was das am Ende bringt. Wir haben mehrere Kunden die das gemacht haben, um dem Kunden ein Gefühl von Sicherheit zu geben. Aber den Code hat der TÜV dafür auch nie gesehen.

Geht auch gar nicht. Um eine komplette Analyse von so einem komplexen Shop zu machen, müsste man Jahre aufwenden. Magento hat weit über 10.000 Dateien. Und der Fehler hier ist jetzt nach etlichen Jahre das erste Mal aufgefallen.

Antworten
grep

Hallo ...,

stark exponierte Systeme sind leider immer auch stark verwundbar ... nur kann / möchte man auf solche Software nicht immer verzichten - sollte dies aber immer dann tun wenn es sich anbietet resp. möglich ist.

Ciao, Sascha.

Antworten
klein0r
klein0r

Gerade durch OpenSource und die weite Verbreitung werden solche Sicherheitslücken aber gepatcht und öffentlich. Schreibst Du etwas selbst, wird die Lücke womöglich ausgenutzt ohne dass Du es jemals merkst.

Gut, jetzt könnte man natürlich sagen, dass sich ein allgemeiner Angriff erst wegen der weiten Verbreitung lohnt. Das ist auch richtig :)

Jedenfalls steht seit Tagen ein Patch bereit, und Magento hat per Newsletter informiert. Also muss man nur fix handeln ...

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen