Abo
  • IT-Karriere:

Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Artikel veröffentlicht am , Hanno Böck
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt.
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt. (Bild: Magento)

In der Shopsoftware Magento sind einige Sicherheitslücken geschlossen worden. Eine dieser Sicherheitslücken ist eine SQL-Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betreiber entsprechender Shops sollten das verfügbare Update sofort installieren.

Stellenmarkt
  1. Universität Passau, Passau
  2. Lebensversicherung von 1871 a. G. München, München

Details, wie die Lücke ausgenutzt werden kann, verrät Magento im Moment nicht. Es dürfte aber für einen Angreifer nicht schwer sein, dies anhand des Patches herauszufinden. Die Sicherheitsfirma Sucuri hat dies offenbar bereits getan, will aber bislang ebenfalls keine Details bekanntgeben. Aus der Meldung von Sucuri geht allerdings hervor, dass man Angriffe anhand von Zugriffen auf den Pfad "/catalog/product/frontend_action_synchronize" erkennen kann.

Daten auslesen durch ungefilterte SQL-Anfragen

Eine SQL-Injection tritt auf, wenn Daten vom Nutzer direkt ohne Filterung oder Escaping in Anfragen an eine Datenbank eingefügt werden. Das kann ein Angreifer nutzen, um die Datenbankabfrage umzuschreiben. Damit kann man üblicherweise Daten aus der Datenbank extrahieren oder auch die Datenbank verändern. Ein Angreifer könnte bei einem Magento-Shop also alle Kundendaten aus der Datenbank extrahieren.

Neben dieser besonders problematischen Sicherheitslücke wurden in den neuesten Versionen von Magento eine Reihe von weiteren Sicherheitslücken geschlossen, darunter Cross-Site-Scripting-Lücken, mehrere Möglichkeiten zur Codeausführung für priviligierte Nutzer und eine weitere SQL-Injection, die ebenfalls nur von priviligierten Nutzern ausgeführt werden kann.

Alle bekanntgewordenen Sicherheitslücken sind in den Versionen 2.3.1, 2.2.8 und 2.1.17 geschlossen. Wer aus irgendwelchen Gründen seinen Shop nicht sofort aktualisieren kann, hat die Möglichkeit, einen Patch für die besonders gefährliche SQL-Injection-Lücke separat herunterzuladen.

Magento ist eine in PHP geschriebene Shopsoftware und gehört zur Firma Adobe. Es gibt eine kommerzielle Version und eine quelloffene Community-Version. Die Community-Version steht unter der Open Software License, die nicht unumstritten ist. Die Open Source Initiative sieht die Lizenz als Open-Source-Lizenz an, aber das Debian-Projekt hält sie für unfrei und auch die Free Software Foundation sieht die Lizenz eher kritisch.



Anzeige
Spiele-Angebote
  1. 4,56€
  2. (-64%) 6,50€
  3. 16,99€

__destruct() 30. Mär 2019

Si.

Xiut 30. Mär 2019

Dann erleuchte doch mal einige hier und erkläre ein Beispiel, wo man trotz prepared...

Sam Moon 30. Mär 2019

Sowas gibt es doch nur, wenn man unsauber arbeitet. Das ist genau der Grund, wieso man...

Anonymer Nutzer 30. Mär 2019

bei richtig erfolgtem escape der übergabezeichenkette sollte das nicht passieren ...

codinger 29. Mär 2019

Das stimmt so nicht. Magento 1 ist betroffen. Version 1.9.4.1 enthält den patch bereits...


Folgen Sie uns
       


Raspberry Pi 4B - Test

Der Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuem Pi-Modell trotz bemerkenswerter Merkmale nicht.

Raspberry Pi 4B - Test Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    5G-Antenne in Berlin ausprobiert: Zu schnell, um nützlich zu sein
    5G-Antenne in Berlin ausprobiert
    Zu schnell, um nützlich zu sein

    Neben einem unwirtlichen Parkplatz in Berlin-Adlershof befindet sich ein Knotenpunkt für den frühen 5G-Ausbau von Vodafone und Telekom. Wir sind hingefahren, um 5G selbst auszuprobieren, und kamen dabei ins Schwitzen.
    Von Achim Sawall und Martin Wolf

    1. Tausende neue Nutzer Vodafone schafft Zuschlag für 5G ab
    2. Vodafone Callya Digital Prepaid-Tarif mit 10 GByte Datenvolumen kostet 20 Euro
    3. Kabelnetz Vodafone bekommt Netzüberlastung nicht in den Griff

    Langstreckentest im Audi E-Tron: 1.000 Meilen - wenig Säulen
    Langstreckentest im Audi E-Tron
    1.000 Meilen - wenig Säulen

    Wie schlägt sich der Audi E-Tron auf einer 1.000-Meilen-Strecke durch zehn europäische Länder? Halten Elektroauto und Ladeinfrastruktur bereits, was die Hersteller versprechen?
    Ein Erfahrungsbericht von Friedhelm Greis

    1. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
    2. Batterieprobleme Auslieferung des e.Go verzögert sich
    3. ID Charger VW bringt günstige Wallbox auf den Markt

      •  /