Abo
  • Services:

Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Artikel veröffentlicht am , Hanno Böck
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt.
Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt. (Bild: Magento)

In der Shopsoftware Magento sind einige Sicherheitslücken geschlossen worden. Eine dieser Sicherheitslücken ist eine SQL-Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betreiber entsprechender Shops sollten das verfügbare Update sofort installieren.

Stellenmarkt
  1. BWI GmbH, Nürnberg, München, Rheinbach
  2. Schaeffler Technologies AG & Co. KG, Schweinfurt

Details, wie die Lücke ausgenutzt werden kann, verrät Magento im Moment nicht. Es dürfte aber für einen Angreifer nicht schwer sein, dies anhand des Patches herauszufinden. Die Sicherheitsfirma Sucuri hat dies offenbar bereits getan, will aber bislang ebenfalls keine Details bekanntgeben. Aus der Meldung von Sucuri geht allerdings hervor, dass man Angriffe anhand von Zugriffen auf den Pfad "/catalog/product/frontend_action_synchronize" erkennen kann.

Daten auslesen durch ungefilterte SQL-Anfragen

Eine SQL-Injection tritt auf, wenn Daten vom Nutzer direkt ohne Filterung oder Escaping in Anfragen an eine Datenbank eingefügt werden. Das kann ein Angreifer nutzen, um die Datenbankabfrage umzuschreiben. Damit kann man üblicherweise Daten aus der Datenbank extrahieren oder auch die Datenbank verändern. Ein Angreifer könnte bei einem Magento-Shop also alle Kundendaten aus der Datenbank extrahieren.

Neben dieser besonders problematischen Sicherheitslücke wurden in den neuesten Versionen von Magento eine Reihe von weiteren Sicherheitslücken geschlossen, darunter Cross-Site-Scripting-Lücken, mehrere Möglichkeiten zur Codeausführung für priviligierte Nutzer und eine weitere SQL-Injection, die ebenfalls nur von priviligierten Nutzern ausgeführt werden kann.

Alle bekanntgewordenen Sicherheitslücken sind in den Versionen 2.3.1, 2.2.8 und 2.1.17 geschlossen. Wer aus irgendwelchen Gründen seinen Shop nicht sofort aktualisieren kann, hat die Möglichkeit, einen Patch für die besonders gefährliche SQL-Injection-Lücke separat herunterzuladen.

Magento ist eine in PHP geschriebene Shopsoftware und gehört zur Firma Adobe. Es gibt eine kommerzielle Version und eine quelloffene Community-Version. Die Community-Version steht unter der Open Software License, die nicht unumstritten ist. Die Open Source Initiative sieht die Lizenz als Open-Source-Lizenz an, aber das Debian-Projekt hält sie für unfrei und auch die Free Software Foundation sieht die Lizenz eher kritisch.



Anzeige
Top-Angebote
  1. 9,99€ (mtl., monatlich kündbar)
  2. (heute u. a. Eufy Saugroboter für 149,99€, Gartengeräte von Bosch)
  3. 99,00€
  4. (u. a. Outward 31,99€, Dirt Rally 2.0 Day One Edition 24,29€, Resident Evil 7 6,99€, Football...

Xiut 30. Mär 2019 / Themenstart

Dann erleuchte doch mal einige hier und erkläre ein Beispiel, wo man trotz prepared...

Sam Moon 30. Mär 2019 / Themenstart

Sowas gibt es doch nur, wenn man unsauber arbeitet. Das ist genau der Grund, wieso man...

ML82 30. Mär 2019 / Themenstart

bei richtig erfolgtem escape der übergabezeichenkette sollte das nicht passieren ...

codinger 29. Mär 2019 / Themenstart

Das stimmt so nicht. Magento 1 ist betroffen. Version 1.9.4.1 enthält den patch bereits...

Kommentieren


Folgen Sie uns
       


Workers Resources Soviet Republic - Test

Wem Aufbaustrategiespiele wie Anno oder Sim City zu einfach sind, sollte Workers & Resources: Soviet Republic ausprobieren. Das Spiel ist Wirtschaftssimulation und Verkehrsmanager in einem.

Workers Resources Soviet Republic - Test Video aufrufen
Energie: Warum Japan auf Wasserstoff setzt
Energie
Warum Japan auf Wasserstoff setzt

Saubere Luft und Unabhängigkeit von Ölimporten: Mit der Umstellung der Wirtschaft auf den Energieträger Wasserstoff will die japanische Regierung gleich zwei große politische Probleme lösen. Das Konzept erscheint attraktiv, hat aber auch entscheidende Nachteile.
Eine Analyse von Werner Pluta


    Leistungsschutzrecht: Das Lügen geht weiter
    Leistungsschutzrecht
    Das Lügen geht weiter

    Selbst nach der Abstimmung über die EU-Urheberrechtsreform gehen die "Lügen für das Leistungsschutzrecht" weiter. Auf dieser Basis darf die Regierung nicht final den Plänen zum Leistungsschutzrecht zustimmen.
    Eine Analyse von Friedhelm Greis

    1. Urheberrechtsreform Was das Internet nicht vergessen sollte
    2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
    3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

    ANC-Kopfhörer im Test: Mit Ach und Krach
    ANC-Kopfhörer im Test
    Mit Ach und Krach

    Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
    Ein Test von Ingo Pakalski

    1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
    2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
    3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

      •  /