Anzeige
Wichtiges Update seit einem Monat verfügbar
Wichtiges Update seit einem Monat verfügbar (Bild: Magento)

Onlineshops Viele Magento-Shops ungepatcht und angreifbar

Ein Fehler im Zend-Framework gefährdet Onlineshops auf Basis von Magento. Das Problem ist seit Anfang Juli 2012 bekannt und der Anbieter bietet seitdem eine korrigierte Version an, doch so mancher Shop wurde bislang nicht aktualisiert, so dass Angreifer auf jede Datei auf den Servern per Web zugreifen können.

Anzeige

Am 5. Juli 2012 warnte Magento vor einer kritischen Sicherheitslücke in seiner Shopsoftware. Ist die Funktion Zend XMLRPC auf dem einen System aktiviert, können Angreifer dadurch jede Datei auf dem Server lesen, einschließlich Passwort- sowie Konfigurationsdateien, und möglicherweise auch auf die Kundendatenbank zugreifen, sofern diese auf dem gleichen Server läuft wie der Magento-Webserver.

Doch auch mehr als einen Monat nach Veröffentlichung dieser Sicherheitslücke sind viele Onlineshops ungepatcht und damit weiterhin unsicher, darauf weist der Magento-Spezialist Nakami Lounge hin und veröffentlicht zugleich einen Proof-of-Concept. Dieser sei aber als allgemein bekannt einzustufen, da der in der Exploit-DB verzeichnete Exploit per Suchmaschine einfach zu finden ist, argumentiert Klaus Brantl von Nakami. Am 10. August 2012 waren 20 von 50 durch Nakami getestete Shops noch angreifbar. Die Shopbetreiber wurden von Nakami nach eigenen Angaben informiert, die Liste der 20 noch ungesicherten Shops liegt Golem.de vor, wird aber nicht veröffentlicht.

Nakami geht es nach eigenen Angaben vor allem darum zu verhindern, dass an Magento ein schlechter Ruf hängen bleibt, "sollten bei einem kritischen Shop 'Daten verloren' gehen".


eye home zur Startseite
Hassashin 14. Aug 2012

Weiche von mir, Satan!

Hassashin 14. Aug 2012

Der war gut. Ein Nachrichtenportal erklärt mir, dass es Informationen gibt und wer sie...

Kommentieren



Anzeige

  1. PHP Entwickler (m/w)
    VEMA Versicherungs-Makler-Genossenschaft e.G., Heinersreuth (bei Bayreuth)
  2. Software Integrator (m/w) im Bereich Fahrerassistenzsysteme
    Continental AG, Lindau
  3. Software-Architekt (m/w)
    Concardis GmbH, Eschborn
  4. Leiter IT-Transformationsprojekte (m/w)
    über Hanseatisches Personalkontor Nürnberg, Nürnberg

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: DEUS EX: MANKIND DIVIDED - Collector's Edition (PC/PS4/Xbox One)
    119,00€/129,00€ (Vorbesteller-Preisgarantie)
  2. NEU: XCOM 2
    25,00€
  3. NEU: Playstation 4 500 GB Konsole
    275,00€ inkl. Versand (Vergleichspreis ab 315€)

Weitere Angebote


Folgen Sie uns
       


  1. Hitman

    Patch behindert Spielstart im Direct3D-12-Modus

  2. Peter Molyneux

    Lionhead-Studio ist Geschichte

  3. Deskmini

    Asrock zeigt Rechner mit Intels Mini-STX-Formfaktor

  4. Die Woche im Video

    Schneller, höher, weiter

  5. Ransomware

    Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt

  6. Kabelnetzbetreiber

    Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW

  7. Fathom Neural Compute Stick

    Movidius packt Deep Learning in einen USB-Stick

  8. Das Flüstern der Alten Götter im Test

    Düstere Evolution

  9. Urheberrecht

    Ein Anwalt, der klingonisch spricht

  10. id Software

    Dauertod in Doom



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielebranche: "Faule Hipster" - verzweifelt gesucht
Spielebranche
"Faule Hipster" - verzweifelt gesucht
  1. Neuronale Netze Weniger Bugs und mehr Spielspaß per Deep Learning
  2. Spielebranche "Die große Schatztruhe gibt es nicht"
  3. The Long Journey Home Überleben im prozedural generierten Universum

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Alphabay Darknet-Marktplatz leakt Privatnachrichten durch eigene API
  2. Verteidigungsministerium Ursula von der Leyen will 13.500 Cyber-Soldaten einstellen
  3. Angebliche Zukunftstechnik Sirin verspricht sicheres Smartphone für 20.000 US-Dollar

LizardFS: Software-defined Storage, wie es sein soll
LizardFS
Software-defined Storage, wie es sein soll
  1. Security Der Internetminister hat Heartbleed
  2. Enterprise-IT Hunderte Huawei-Ingenieure haben an Telekom Cloud gearbeitet
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Re: Spiele Studios veröffentlichen nur noch Mist !

    Carlo Escobar | 00:39

  2. Re: Schlangenölverkäufer Molyneux

    Gelegenheitssurfer | 00:31

  3. Re: Ich will kein Ultrasuperschweres Game, bei...

    Porterex | 00:23

  4. Re: Wo ist da die Kunst?

    Porterex | 00:21

  5. Re: Verknöcherte alte Struckturen

    plutoniumsulfat | 00:19


  1. 13:13

  2. 12:26

  3. 11:03

  4. 09:01

  5. 00:05

  6. 19:51

  7. 18:59

  8. 17:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel