Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-sql-injection-gefaehrdet-magento-shops-1903-140339.html    Veröffentlicht: 29.03.2019 09:33    Kurz-URL: https://glm.io/140339

Sicherheitslücke

SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

In der Shopsoftware Magento sind einige Sicherheitslücken geschlossen worden. Eine dieser Sicherheitslücken ist eine SQL-Injection, die ohne vorherige Authentifizierung ausgenutzt werden kann. Betreiber entsprechender Shops sollten das verfügbare Update sofort installieren.

Details, wie die Lücke ausgenutzt werden kann, verrät Magento im Moment nicht. Es dürfte aber für einen Angreifer nicht schwer sein, dies anhand des Patches herauszufinden. Die Sicherheitsfirma Sucuri hat dies offenbar bereits getan, will aber bislang ebenfalls keine Details bekanntgeben. Aus der Meldung von Sucuri geht allerdings hervor, dass man Angriffe anhand von Zugriffen auf den Pfad "/catalog/product/frontend_action_synchronize" erkennen kann.

Daten auslesen durch ungefilterte SQL-Anfragen

Eine SQL-Injection tritt auf, wenn Daten vom Nutzer direkt ohne Filterung oder Escaping in Anfragen an eine Datenbank eingefügt werden. Das kann ein Angreifer nutzen, um die Datenbankabfrage umzuschreiben. Damit kann man üblicherweise Daten aus der Datenbank extrahieren oder auch die Datenbank verändern. Ein Angreifer könnte bei einem Magento-Shop also alle Kundendaten aus der Datenbank extrahieren.

Neben dieser besonders problematischen Sicherheitslücke wurden in den neuesten Versionen von Magento eine Reihe von weiteren Sicherheitslücken geschlossen, darunter Cross-Site-Scripting-Lücken, mehrere Möglichkeiten zur Codeausführung für priviligierte Nutzer und eine weitere SQL-Injection, die ebenfalls nur von priviligierten Nutzern ausgeführt werden kann.

Alle bekanntgewordenen Sicherheitslücken sind in den Versionen 2.3.1, 2.2.8 und 2.1.17 geschlossen. Wer aus irgendwelchen Gründen seinen Shop nicht sofort aktualisieren kann, hat die Möglichkeit, einen Patch für die besonders gefährliche SQL-Injection-Lücke separat herunterzuladen.

Magento ist eine in PHP geschriebene Shopsoftware und gehört zur Firma Adobe. Es gibt eine kommerzielle Version und eine quelloffene Community-Version. Die Community-Version steht unter der Open Software License, die nicht unumstritten ist. Die Open Source Initiative sieht die Lizenz als Open-Source-Lizenz an, aber das Debian-Projekt hält sie für unfrei und auch die Free Software Foundation sieht die Lizenz eher kritisch.  (hab)


Verwandte Artikel:
Marketo: Adobe Systems kauft für 4,75 Milliarden Dollar ein   
(21.09.2018, https://glm.io/136693 )
IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand   
(12.04.2017, https://glm.io/127258 )
Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA   
(27.03.2019, https://glm.io/140291 )
Maschinelles Lernen: Adobe will Sprachassistenten für PDFs entwickeln   
(28.03.2019, https://glm.io/140325 )
Sicherheitslücke: Wordpress-Sicherheitslücke ermöglicht Änderung von Inhalten   
(02.02.2017, https://glm.io/125961 )

© 1997–2019 Golem.de, https://www.golem.de/