Abo
  • Services:

Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

Wer eine Magento-basierte Onlineshop-Lösung verwendet, sollte dringend seine Einstellungen überprüfen. Eine Sicherheitslücke erlaubt die Kompromittierung des Angebots. Es betrifft aber nicht alle Installationen und der Hersteller arbeitet an einem Patch, kommuniziert dies jedoch nicht vernünftig.

Artikel veröffentlicht am ,
Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Defensecode hat ein Security Advisory ausgegeben, das eine hohe Gefahr für Betreiber von Magento-Systemen darstellt, sofern die Option "Add Secret Key to URLs" deaktiviert wurde. Laut Defensecode wurden die Magento-Entwickler bereits im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte sogar am Tag der Meldung und bestätigte Defensecode, dass man sich der Sicherheitslücke bewusst sei.

Stellenmarkt
  1. Hays AG, Braunschweig
  2. Weber Maschinenbau GmbH Breidenbach, Breidenbach

Doch dann passierte nichts mehr. Am 11. April 2017 kontaktierte Defensecode erfolglos noch einmal Magento und veröffentlichte am gestrigen 13. April das Security Advisory. Demzufolge ist es Angreifern möglich, aktive Magento-Sessions zu manipulieren. Dazu muss der Anwender des Magento-Systems nur zum Besuch einer präparierten Webseite gebracht werden. Anschließend lässt sich Fremdcode ausführen. Der Angriff soll so einfach sein, dass er beispielsweise in einem Magento-Support-Forum platziert werden könnte. Besonders hohe Rechte braucht der Angegriffene nicht, er muss nur in seinem Magento-System angemeldet sein.

Magento kennt die Probleme, kommuniziert aber kaum

Auf Anfragen von Kaspersky und PC World reagierte das Unternehmen mit kurzen Statements. Demnach soll schon im nächsten Magento-Release die Sicherheitslücke geschlossen werden. Zudem kennt Magento bisher keine Angriffe auf Nutzer des Systems.

Laut Defensecode gibt es eine einfache Option, um die Angriffe zu verhindern. "Add Secret Key to URLs" muss aktiviert werden. Von Magento kommt dieser Tipp nicht. Im Sinne der Besucher von Magento-Shops sollten Administratoren schnell reagieren. Magento kommuniziert derartige Probleme oft nicht in dem Umfang, der notwendig wäre. Weder auf der Webseite noch auf dem Twitter-Account gibt es Hinweise auf die Sicherheitslücke.

Nachtrag vom 16. April 2017, 22:42 Uhr

Die Option "Add Secret Key to URLs" ist als Standard bei einer Magento-Installation aktiv. Betroffen sind also nur Konfigurationen, bei denen die Funktion deaktiviert wurde. Der Text wurde entsprechend aktualisiert.

Zu den Kommentaren springen
Meistgelesen
  1. Software-Entwickler
    Welche Programmiersprache soll ich lernen?
  2. Apple
    Käufer beklagen schwachen Empfang beim iPhone Xs und Xs Max
  3. GFX 100
    Fujifilm baut spiegellose Systemkamera mit 100 Megapixeln
  4. Ein Netz
    Grüne wollen 5G-Versteigerung stoppen
  5. Luftaufnahmen
    Drohnen im Einsatz gegen griechische Steuerhinterzieher
Anzeige
Top-Angebote
  1. (heute u. a. Be quiet Dark Base 900 139,90€, Intenso 960-GB-SSD 149,90€)
  3. (u. a. Far Cry 5, Skyrim Special Edition, Tekken 7, The Witcher 3, Ghost Recon Wildlands...
  4. (u. a. Conjuring 2, Hacksaw Ridge, Snowden, The Accountant)
Kommentarübersicht
Re: Wie man sich absichert
AdrianJ 02. Jul 2017

Danke! Aber du hast vergessen, das man vielleicht auch Selbst nach Sicherheitslücken...

Re: In Standard-Konfiguration nicht ausnutzbar:
as (Golem.de) 16. Apr 2017

Hallo, stimmt, danke für den Hinweis, ich aktualisiere das gleich. gruß -Andy (Golem.de)

Re: Mein Beileid
Tigtor 16. Apr 2017

OK, danke für die info und frohe Ostern

Folgen Sie uns
       
BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
AVM
FritzOS 7 im Test: Im Zeichen von Mesh, Gastzugang und einfacher Bedienbarkeit
FritzOS 7 im Test
Im Zeichen von Mesh, Gastzugang und einfacher Bedienbarkeit

FritzOS 7 bringt viele Neuerungen, die eine Fritzbox zu einem noch vielfältigerem Gerät machen. Uns gefallen besonders der sehr einfach einrichtbare WLAN-Gastzugang und die automatisch erstellte Netzwerktopologie. Die noch immer nicht sehr ausgereifte NAS-Funktion ist aber erwähnenswert.
Ein Test von Oliver Nickel

  1. Fritzbox 7530 AVM zeigt Einsteiger-Fritzbox und Repeater mit FritzOS 7
  2. AVM Fritzapp WLAN Diagnose-App scannt WLANs jetzt auch auf iOS
  3. AVM FritzOS 7 bringt besseres Mesh, Gäste-Hotspot und mehr
Sky
Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Comcast Bezahlsender Sky für 38,8 Milliarden US-Dollar verkauft
  2. Sky Q im Test Konkurrenzlos rückständig
  3. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
Fifa
Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /