Blog

19. April 2017

Magento 2 Sicherheitslücke beim Einbinden von Vimeo Videos

Magento 2 Sicherheitslücke

Bereits im November 2016 entdeckte Bosko Stankovic von der Sicherheitsfirma DefenseCode die Magento 2 Sicherheitslücke. Bedroht sind ausschließlich Magento 2 Onlineshops – nicht Magento 1.

Aktuelle Warnungen in den Medien

Aktuell berichten viele Medien erneut von der Magento Sicherheitslücke beim Einbinden von Vimeo Videos. Allerdings liegt der Fokus der Berichterstattung darauf, dass Bosko Stankovic diese Sicherheitslücke bereits vor Monaten entdeckte und noch kein Patch vorliegt. Uns ist aufgefallen, dass fast nirgendwo ein Hinweis darauf erfolgt, dass sich diese Sicherheitslücke nur auf Magento 2 bezieht. Die Funktion, Vimeo Produktvideos einzubinden, existiert nämlich erst seit Version 2.

Die Schwachstelle

Die Magento 2 Sicherheitslücke findet sich im Modul für die Einbindung von Vimeo Produktvideos. Sollte beim Versuch, ein Video einzubinden ein Fehler bei der Validierung des Vorschaubildes auftauchen, etwa ein falsches Dateiformat, wird die Datei trotzdem auf dem Server gespeichert. Angreifer können die URL dieser gespeicherten Datei gezielt steuern. Dadurch können sie beliebigen Code auf dem Server speichern und ausführen. Auf diese Weise könnten Angreifer die Webseite manipulieren und Kundendaten aus der Datenbank stehlen.

Handlungsempfehlung

Um dies zu verhindern, empfehlen wir die Option „Secret Key zu URLs hinzufügen“ für alle User zu forcieren. Damit Angreifer keinen „Remote Code Execution“-Angriff durch willkürlichen Dateiupload durchführen können, sollten Sie den Server so konfigurieren, dass .htaccess-Dateien in den betroffenen Verzeichnissen verweigert werden. Eine ausführliche Beschreibung zu dieser Magento 2 Sicherheitslücke vom Entdecker Bosko Stankovic finden Sie hier.

Angriffe über die Magento 2 Sicherheitslücke

Bislang sind keine Angriffe über diese Schwachstelle bekannt. Magento ist bereits seit November über diese Sicherheitslücke informiert und arbeitet aktuell an einem Patch. Sobald ein Patch verfügbar sein wird, werden wir Sie in diesem Blog darüber informieren.

Bild: maxcluster GmbH, 2017

Teile diesen Beitrag