Abo
  • Services:
Anzeige
Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Wer eine Magento-basierte Onlineshop-Lösung verwendet, sollte dringend seine Einstellungen überprüfen. Eine Sicherheitslücke erlaubt die Kompromittierung des Angebots. Es betrifft aber nicht alle Installationen und der Hersteller arbeitet an einem Patch, kommuniziert dies jedoch nicht vernünftig.

Defensecode hat ein Security Advisory ausgegeben, das eine hohe Gefahr für Betreiber von Magento-Systemen darstellt, sofern die Option "Add Secret Key to URLs" deaktiviert wurde. Laut Defensecode wurden die Magento-Entwickler bereits im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte sogar am Tag der Meldung und bestätigte Defensecode, dass man sich der Sicherheitslücke bewusst sei.

Anzeige

Doch dann passierte nichts mehr. Am 11. April 2017 kontaktierte Defensecode erfolglos noch einmal Magento und veröffentlichte am gestrigen 13. April das Security Advisory. Demzufolge ist es Angreifern möglich, aktive Magento-Sessions zu manipulieren. Dazu muss der Anwender des Magento-Systems nur zum Besuch einer präparierten Webseite gebracht werden. Anschließend lässt sich Fremdcode ausführen. Der Angriff soll so einfach sein, dass er beispielsweise in einem Magento-Support-Forum platziert werden könnte. Besonders hohe Rechte braucht der Angegriffene nicht, er muss nur in seinem Magento-System angemeldet sein.

Magento kennt die Probleme, kommuniziert aber kaum

Auf Anfragen von Kaspersky und PC World reagierte das Unternehmen mit kurzen Statements. Demnach soll schon im nächsten Magento-Release die Sicherheitslücke geschlossen werden. Zudem kennt Magento bisher keine Angriffe auf Nutzer des Systems.

Laut Defensecode gibt es eine einfache Option, um die Angriffe zu verhindern. "Add Secret Key to URLs" muss aktiviert werden. Von Magento kommt dieser Tipp nicht. Im Sinne der Besucher von Magento-Shops sollten Administratoren schnell reagieren. Magento kommuniziert derartige Probleme oft nicht in dem Umfang, der notwendig wäre. Weder auf der Webseite noch auf dem Twitter-Account gibt es Hinweise auf die Sicherheitslücke.

Nachtrag vom 16. April 2017, 22:42 Uhr

Die Option "Add Secret Key to URLs" ist als Standard bei einer Magento-Installation aktiv. Betroffen sind also nur Konfigurationen, bei denen die Funktion deaktiviert wurde. Der Text wurde entsprechend aktualisiert.


eye home zur Startseite
as (Golem.de) 16. Apr 2017

Hallo, stimmt, danke für den Hinweis, ich aktualisiere das gleich. gruß -Andy (Golem.de)

Themenstart

Tigtor 16. Apr 2017

OK, danke für die info und frohe Ostern

Themenstart

elgooG 15. Apr 2017

Das dürfte das grundlegende Einmaleins bei Webservern sein, ist aber leider selbst bei...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Mediaform Unternehmensgruppe über ACADEMIC WORK, Hamburg, Reinbek
  2. Bundesarbeitsgemeinschaft für Rehabilitation e.V. (BAR), Frankfurt am Main
  3. Getriebebau NORD GmbH & Co. KG, Bargteheide bei Hamburg
  4. ETAS GmbH, Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 49,00€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)

Folgen Sie uns
       


  1. id Software

    Nächste id Tech setzt massiv auf FP16-Berechnungen

  2. Broadcom-Sicherheitslücken

    Samsung schützt Nutzer nicht vor WLAN-Angriffe

  3. Star Citizen

    Transparenz im All

  4. Hikey 960

    Huawei bringt Entwicklerboard mit Mate-9-Chip

  5. Samsung

    Chip-Sparte bringt Gewinnanstieg

  6. Mario Kart 8 Deluxe im Test

    Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo

  7. Google Global Cache

    Googles Server für Kuba sind online

  8. Snap Spectacles im Test

    Das Brillen-Spektakel für Snapchat-Fans

  9. Hybridkonsole

    Nintendo verkauft im ersten Monat 2,74 Millionen Switch

  10. Windows 10

    Fehler unterbricht Verteilung des Creators Update teilweise



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  2. Lagerverkehr Amazon setzt auf Gabelstapler mit Brennstoffzellen
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

  1. Re: 12V/2A Power Supply recommendet

    ScaniaMF | 17:07

  2. Re: So langsam ists wie mit den Wunderakkus

    Luke321 | 17:06

  3. Re: Völliger Bullshit

    neocron | 17:05

  4. Re: Und wann befindet sich in einem YouTube-Video...

    Akaruso | 17:03

  5. Re: !!! Nur 100 Km Reichweite? !!!

    Stefan99 | 17:02


  1. 16:33

  2. 16:05

  3. 15:45

  4. 15:26

  5. 14:55

  6. 14:00

  7. 12:42

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel