Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Artikel veröffentlicht am , Hanno Böck
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt.
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt. (Bild: Magento)

In der Shopsoftware Magento sind einige Sicherheitslücken geschlossen worden. Eine dieser Sicherheitslücken ist eine SQL-Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betreiber entsprechender Shops sollten das verfügbare Update sofort installieren.

Stellenmarkt
  1. SW-Integrator für embedded Chassis Systeme (m/w / divers)
    Continental AG, Hannover
  2. Referentinnen / Referenten (w/m/d) im Bereich eID-Komponenten und hoheitliche Dokumente
    Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn
Detailsuche

Details, wie die Lücke ausgenutzt werden kann, verrät Magento im Moment nicht. Es dürfte aber für einen Angreifer nicht schwer sein, dies anhand des Patches herauszufinden. Die Sicherheitsfirma Sucuri hat dies offenbar bereits getan, will aber bislang ebenfalls keine Details bekanntgeben. Aus der Meldung von Sucuri geht allerdings hervor, dass man Angriffe anhand von Zugriffen auf den Pfad "/catalog/product/frontend_action_synchronize" erkennen kann.

Daten auslesen durch ungefilterte SQL-Anfragen

Eine SQL-Injection tritt auf, wenn Daten vom Nutzer direkt ohne Filterung oder Escaping in Anfragen an eine Datenbank eingefügt werden. Das kann ein Angreifer nutzen, um die Datenbankabfrage umzuschreiben. Damit kann man üblicherweise Daten aus der Datenbank extrahieren oder auch die Datenbank verändern. Ein Angreifer könnte bei einem Magento-Shop also alle Kundendaten aus der Datenbank extrahieren.

Neben dieser besonders problematischen Sicherheitslücke wurden in den neuesten Versionen von Magento eine Reihe von weiteren Sicherheitslücken geschlossen, darunter Cross-Site-Scripting-Lücken, mehrere Möglichkeiten zur Codeausführung für priviligierte Nutzer und eine weitere SQL-Injection, die ebenfalls nur von priviligierten Nutzern ausgeführt werden kann.

Golem Karrierewelt
  1. Git Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
Weitere IT-Trainings

Alle bekanntgewordenen Sicherheitslücken sind in den Versionen 2.3.1, 2.2.8 und 2.1.17 geschlossen. Wer aus irgendwelchen Gründen seinen Shop nicht sofort aktualisieren kann, hat die Möglichkeit, einen Patch für die besonders gefährliche SQL-Injection-Lücke separat herunterzuladen.

Magento ist eine in PHP geschriebene Shopsoftware und gehört zur Firma Adobe. Es gibt eine kommerzielle Version und eine quelloffene Community-Version. Die Community-Version steht unter der Open Software License, die nicht unumstritten ist. Die Open Source Initiative sieht die Lizenz als Open-Source-Lizenz an, aber das Debian-Projekt hält sie für unfrei und auch die Free Software Foundation sieht die Lizenz eher kritisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


__destruct() 30. Mär 2019

Si.

Xiut 30. Mär 2019

Dann erleuchte doch mal einige hier und erkläre ein Beispiel, wo man trotz prepared...

Sam Moon 30. Mär 2019

Sowas gibt es doch nur, wenn man unsauber arbeitet. Das ist genau der Grund, wieso man...

Anonymer Nutzer 30. Mär 2019

bei richtig erfolgtem escape der übergabezeichenkette sollte das nicht passieren ...



Aktuell auf der Startseite von Golem.de
I am Jesus Christ angespielt
Der Jesus-Simulator lässt uns vom Glauben abfallen

Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
Von Peter Steinlechner

I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
Artikel
  1. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

  2. Prozessor-Architektur: Das lange Erbe von Intels 8080
    Prozessor-Architektur
    Das lange Erbe von Intels 8080

    50 Jahre alte Entscheidungen beeinflussen heutige Prozessoren - selbst Apples ARM-Prozessoren können sich dem nicht entziehen.
    Von Johannes Hiltscher

  3. Elektromobilität: Toyota entwickelt Brennstoffzellen-Antriebsstrang für Hilux
    Elektromobilität
    Toyota entwickelt Brennstoffzellen-Antriebsstrang für Hilux

    Toyota setzt weiter auf Wasserstoff. Der Pick-up Hilux bekommt eine Brennstoffzelle.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /