Abo
  • Services:
Anzeige
Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Wer eine Magento-basierte Onlineshop-Lösung verwendet, sollte dringend seine Einstellungen überprüfen. Eine Sicherheitslücke erlaubt die Kompromittierung des Angebots. Es betrifft aber nicht alle Installationen und der Hersteller arbeitet an einem Patch, kommuniziert dies jedoch nicht vernünftig.

Defensecode hat ein Security Advisory ausgegeben, das eine hohe Gefahr für Betreiber von Magento-Systemen darstellt, sofern die Option "Add Secret Key to URLs" deaktiviert wurde. Laut Defensecode wurden die Magento-Entwickler bereits im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte sogar am Tag der Meldung und bestätigte Defensecode, dass man sich der Sicherheitslücke bewusst sei.

Anzeige

Doch dann passierte nichts mehr. Am 11. April 2017 kontaktierte Defensecode erfolglos noch einmal Magento und veröffentlichte am gestrigen 13. April das Security Advisory. Demzufolge ist es Angreifern möglich, aktive Magento-Sessions zu manipulieren. Dazu muss der Anwender des Magento-Systems nur zum Besuch einer präparierten Webseite gebracht werden. Anschließend lässt sich Fremdcode ausführen. Der Angriff soll so einfach sein, dass er beispielsweise in einem Magento-Support-Forum platziert werden könnte. Besonders hohe Rechte braucht der Angegriffene nicht, er muss nur in seinem Magento-System angemeldet sein.

Magento kennt die Probleme, kommuniziert aber kaum

Auf Anfragen von Kaspersky und PC World reagierte das Unternehmen mit kurzen Statements. Demnach soll schon im nächsten Magento-Release die Sicherheitslücke geschlossen werden. Zudem kennt Magento bisher keine Angriffe auf Nutzer des Systems.

Laut Defensecode gibt es eine einfache Option, um die Angriffe zu verhindern. "Add Secret Key to URLs" muss aktiviert werden. Von Magento kommt dieser Tipp nicht. Im Sinne der Besucher von Magento-Shops sollten Administratoren schnell reagieren. Magento kommuniziert derartige Probleme oft nicht in dem Umfang, der notwendig wäre. Weder auf der Webseite noch auf dem Twitter-Account gibt es Hinweise auf die Sicherheitslücke.

Nachtrag vom 16. April 2017, 22:42 Uhr

Die Option "Add Secret Key to URLs" ist als Standard bei einer Magento-Installation aktiv. Betroffen sind also nur Konfigurationen, bei denen die Funktion deaktiviert wurde. Der Text wurde entsprechend aktualisiert.


eye home zur Startseite
AdrianJ 02. Jul 2017

Danke! Aber du hast vergessen, das man vielleicht auch Selbst nach Sicherheitslücken...

as (Golem.de) 16. Apr 2017

Hallo, stimmt, danke für den Hinweis, ich aktualisiere das gleich. gruß -Andy (Golem.de)

Tigtor 16. Apr 2017

OK, danke für die info und frohe Ostern



Anzeige

Stellenmarkt
  1. Evonik Resource Efficiency GmbH, Essen, Hanau
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Robert Bosch GmbH, Plochingen
  4. Amprion GmbH, Pulheim


Anzeige
Hardware-Angebote

Folgen Sie uns
       


  1. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  2. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  3. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  4. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  5. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier

  6. Grundversorgung

    Telekom baut auch noch mit Kupfer aus

  7. Playerunknown's Battlegrounds

    Pubg-Schöpfer fordert besseren Schutz vor Klonen

  8. Solarstrom

    Der erste Solarzug der Welt nimmt seinen Betrieb auf

  9. Microsoft

    Kostenloses Tool hilft bei der Migration von VMs auf Azure

  10. Streaming-Streit

    Amazon will wieder Chromecast und Apple TV verkaufen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

  1. Re: Bisher 700000 Menschen sagen "danke Staat".

    AllDayPiano | 14:58

  2. Re: 7,70¤ je GB komisch

    muslu | 14:58

  3. Einfach Datenvolumen erhöhen

    bonopc | 14:57

  4. Re: Dass man sich wirklich mal auf Google oder FB...

    ImBackAlive | 14:57

  5. Re: Twitch Prime

    Pansen | 14:57


  1. 15:04

  2. 14:22

  3. 13:00

  4. 12:41

  5. 12:04

  6. 11:44

  7. 11:30

  8. 10:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel