Abo
  • IT-Karriere:

Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Artikel veröffentlicht am , Hanno Böck
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt.
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt. (Bild: Magento)

In der Shopsoftware Magento sind einige Sicherheitslücken geschlossen worden. Eine dieser Sicherheitslücken ist eine SQL-Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betreiber entsprechender Shops sollten das verfügbare Update sofort installieren.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. imc Test & Measurement GmbH, Berlin

Details, wie die Lücke ausgenutzt werden kann, verrät Magento im Moment nicht. Es dürfte aber für einen Angreifer nicht schwer sein, dies anhand des Patches herauszufinden. Die Sicherheitsfirma Sucuri hat dies offenbar bereits getan, will aber bislang ebenfalls keine Details bekanntgeben. Aus der Meldung von Sucuri geht allerdings hervor, dass man Angriffe anhand von Zugriffen auf den Pfad "/catalog/product/frontend_action_synchronize" erkennen kann.

Daten auslesen durch ungefilterte SQL-Anfragen

Eine SQL-Injection tritt auf, wenn Daten vom Nutzer direkt ohne Filterung oder Escaping in Anfragen an eine Datenbank eingefügt werden. Das kann ein Angreifer nutzen, um die Datenbankabfrage umzuschreiben. Damit kann man üblicherweise Daten aus der Datenbank extrahieren oder auch die Datenbank verändern. Ein Angreifer könnte bei einem Magento-Shop also alle Kundendaten aus der Datenbank extrahieren.

Neben dieser besonders problematischen Sicherheitslücke wurden in den neuesten Versionen von Magento eine Reihe von weiteren Sicherheitslücken geschlossen, darunter Cross-Site-Scripting-Lücken, mehrere Möglichkeiten zur Codeausführung für priviligierte Nutzer und eine weitere SQL-Injection, die ebenfalls nur von priviligierten Nutzern ausgeführt werden kann.

Alle bekanntgewordenen Sicherheitslücken sind in den Versionen 2.3.1, 2.2.8 und 2.1.17 geschlossen. Wer aus irgendwelchen Gründen seinen Shop nicht sofort aktualisieren kann, hat die Möglichkeit, einen Patch für die besonders gefährliche SQL-Injection-Lücke separat herunterzuladen.

Magento ist eine in PHP geschriebene Shopsoftware und gehört zur Firma Adobe. Es gibt eine kommerzielle Version und eine quelloffene Community-Version. Die Community-Version steht unter der Open Software License, die nicht unumstritten ist. Die Open Source Initiative sieht die Lizenz als Open-Source-Lizenz an, aber das Debian-Projekt hält sie für unfrei und auch die Free Software Foundation sieht die Lizenz eher kritisch.



Anzeige
Spiele-Angebote
  1. 0,00€
  2. (-79%) 11,99€
  3. 4,99€

Xiut 30. Mär 2019 / Themenstart

Dann erleuchte doch mal einige hier und erkläre ein Beispiel, wo man trotz prepared...

Sam Moon 30. Mär 2019 / Themenstart

Sowas gibt es doch nur, wenn man unsauber arbeitet. Das ist genau der Grund, wieso man...

ML82 30. Mär 2019 / Themenstart

bei richtig erfolgtem escape der übergabezeichenkette sollte das nicht passieren ...

codinger 29. Mär 2019 / Themenstart

Das stimmt so nicht. Magento 1 ist betroffen. Version 1.9.4.1 enthält den patch bereits...

Kommentieren


Folgen Sie uns
       


Amazon Basics PC-Peripherie ausprobiert

Amazons Basics-Reihe beinhaltet eine Reihe von PC-Peripheriegeräten. Wir haben uns alles nötige bestellt und überprüft, ob sich ein Kauf der Produkte lohnt.

Amazon Basics PC-Peripherie ausprobiert Video aufrufen
Recycling: Die Plastikfischer
Recycling
Die Plastikfischer

Millionen Tonnen Kunststoff landen jedes Jahr im Meer. Müllschlucker, die das Material einsammeln, sind bislang wenig erfolgreich. Eine schwimmende Recycling-Fabrik, die die wichtigsten Häfen anläuft, könnte helfen, das Problem zu lösen.
Ein Bericht von Daniel Hautmann

  1. Elektroautos Audi verbündet sich mit Partner für Akkurecycling
  2. Urban Mining Wie aus alten Platinen wieder Kupfer wird

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  2. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  3. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten

    •  /