Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Seit November nicht gestopft: Sicherheitslücke gefährdet Magento-Shops

Magento. (Bild: Magento)

Seit fünf Monaten sind Magento-Online-Shops durch eine Sicherheitslücke gefährdet, über die Angreifer beliebigen Code ausführen können. Wann der Hersteller die Lücke stopft, steht noch nicht fest.

Magento-Lücke: Im November entdeckt, noch ungestopft

Schon im November 2016 hatten die Sicherheitsexperten von Defensecode eine Lücke im populären E-Commerce-System Magento entdeckt und nach eigenen Angaben den Hersteller umgehend darüber informiert. Magento hatte die Sicherheitslücke bestätigt, sie aber auch nach fünf Monaten noch nicht gestopft. Auf Nachhaken von US-Medien kündigte Magento immerhin einen Patch an. Wann genau der kommt, ist aber nicht bekannt.

 

(Screenshot: Magento)
Sicherheitslücke im Online-Shopsystem von Magento. (Screenshot: Magento)

Jetzt hat Defensecode die Sicherheitslücke mit dem Titel „Magento Arbitrary File Upload Vulnerability“ veröffentlicht. Um eigenen Code auf dem Server des Angegriffenen auszuführen, muss der Angreifer zum Beispiel einem Produkteintrag ein Vimeo-Video hinzufügen, wie Kasperskys Threatpost berichtet. Dabei lädt das Magento-System ein Vorschaubild, auch eine ungültige Datei würde aber auf dem Server landen. Gelingt es dem Angreifer, die Anfrage auf eine andere URL umzulenken, kann eigener Code ausgeführt werden.

Angreifer brauchen Zugriff auf Magento

Von der Sicherheitslücke betroffen sind vor allem Shopbetreiber, die die voreingestellte Option „Secret Key zu URLs hinzufügen“ ausgeschaltet haben. Denn dadurch wird Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig. Ist die Option aktiviert, bräuchte ein Angreifer Zugriff auf das Shopsystem. Dafür reichten aber auch einfache Benutzerrechte.

Magento zufolge soll es bisher keine Angriffe über die Lücke gegeben haben. Gefährdet seien aber rund 200.000 Händler, die auf das Online-Shopsystem setzen. Angreifer könnten etwa sowohl Malware auf den angegriffenen Servern installieren als auch ganze Datenbankinhalte mit sensiblen Daten von Nutzern, etwa Kreditkartendaten, stehlen.

Mehr zum Thema:

via www.heise.de

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
Ady2015

Naja, Magento ist sowieso ständig von Sicherheitslücken befallen. Wer auf Nummer sicher gehen will, dem empfehle ich den Website Scanner:

https://www.janotta-partner.de/blog.website-scanner.html

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.