Blog

19. September 2017

Magento Upgrades und SUPEE-10266

Magento Upgrades

Die Shopsoftware Magento stellt neue Magento Upgrades zur Verfügung. Damit werden relevante Sicherheitslücken geschlossen.

Welche Versionen sind betroffen?

Sowohl für die Open Source Edition (vormals Community Edition) als auch für Magento Commerce (vormals Enterprise Edition) kann nun ein Upgrade durchgeführt werden. Folgende Versionen sind verfügbar:

  • a) Magento Open Source und Magento Commerce 2.1.9
  • b) Magento Open Source und Magento Commerce 2.0.16
  • c) Magento Commerce 1.14.3.5
  • d) Magento Open Source 1.9.3.6

Mit diesen Upgrades lassen sich wichtige Sicherheitslücken schließen. Für ältere Magento 1.x-Versionen steht überdies der Sicherheitspatch SUPEE-10266 bereit.

Welche Sicherheitslücken lassen sich schließen?

Mit dem Patch bzw. mit den Upgrades werden Sicherheitslücken geschlossen, durch welche es unter bestimmten Bedingungen möglich wäre, Cross-Site-Anfragen zu fälschen (CSFR), nicht autorisierte Daten einzusehen (Data leak) oder sogar einen Remote Code Execution Angriff durchzuführen. Unter anderem schließen die Updates folgende Sicherheitslücken:

Magento 1:

Privilege Escalation, Status: 8,2 (kritisch)
Ein Angreifer kann ein RSS Session Cookie mit geringen Privilegien verwenden, um Zugang zum Magento Admin Portal zu erhalten.

Remote Code Execution (RCE), Status: 8,2 (kritisch)
Ein Administrator mit wenigen Rechten könnte Schadcode einführen, wenn er eine neue CMS-Seite erschafft. Dies könnte zu einer RCE führen.

Information Leak, Status: 8,2 (hoch)
Ein Administrator mit wenigen Rechten könnte eine Schwachstelle beim Erstellen von neuem Content ausnutzen, um interne Magento Dateien zu öffnen sowie Daten abzurufen.

Magento 2:

Remote Code Execution (RCE), Status: 8,2 (kritisch)
Ein Administrator mit wenigen Rechten könnte Schadcode einführen, wenn er eine neue CMS-Seite erschafft. Dies könnte zu einer RCE führen.

Information Leak, Status: 7,8 (hoch)
Ein Administrator mit wenigen Rechten könnte eine Schwachstelle beim Erstellen eines „Themes“ ausnutzen, um Systemdateien einer Magento-Installation willkürlich zu veröffentlichen oder zu löschen.

Arbitrary File Delete, Status: 6,8 (hoch)
Ein Administrator mit wenigen Rechten könnte das Modul „Delete Files“ für den Upload sowie das Löschen beliebiger Dateien ausnutzen.

Unsere Handlungsempfehlung für die Magento Upgrades und den Patch

Wir empfehlen Ihnen, das für Sie zutreffende Upgrade bzw. den Sicherheitspatch SUPEE-10266 zu installieren. Die offiziellen Downloads für die Upgrades finden Sie unter Magento Tech Ressources sowie für den Patch unter SUPEE-10266. Vor der Installation empfehlen wir außerdem, einen Test in einer Staging Umgebung durchzuführen.
In einigen Fällen führt der Patch bei Magento Commerce Nutzern zu Problemen im Bestellprozess. Wenn ein Kunde das Kontrollkästchen für die Geschenkeoption aktiviert, wird der Vorgang nur bis zum Zahlungsschritt durchgeführt, aber nicht darüber hinaus. Für Magento Commerce Nutzer ist es also unter Umständen notwendig, nach dem Update des Patches SUPEE-10266 auch noch den funktionalen Patch SUPEE-10384 zu installieren. Diesen Patch können Sie ebenfalls im Download Bereich für Magento Commerce herunterladen. Mögliche Probleme mit dem Magento 1 Patch werden derzeit zum Beispiel auf Stackexchange diskutiert. 

Bild: peshkova / fotolia.com, 2017

Teile diesen Beitrag