Update Magento 1.9.4.1 und SUPEE-11086

MagentoSicherheit
Manuela Mörmel

Am 26. März 2019 hat Magento das Update Open Source 1.9.4.1 und Commerce 1.14.4.1 sowie gleichzeitig den wichtigen Sicherheitspatch "SUPEE-11086" veröffentlicht. Unter anderem wird damit eine sehr kritische SQL-Injektion-Sicherheitslücke geschlossen. Erfahren Sie mehr im Blogbeitrag.

Sicherheitspatch SUPEE-11086

Magento schließt mit dem Sicherheitspatch "SUPEE-11086" insgesamt 25 Sicherheitslücken. Darunter unter anderem eine sehr kritische SQL-Injection-Schwachstelle. Der Sicherheitspatch betrifft die Versionen Magento Commerce 1.9.0.0 bis 1.14.4.0 und Magento Open Source 1.5.0.0 bis 1.9.4.0. Im Folgenden nennen wir die Sicherheitslücken mit dem größten Sicherheitsrisiko.

PRODSECBUG-2198: SQL-Injection durch nicht-authentifizierte Nutzer - sehr kritisch (9)
Ein nicht-authentifizierter Nutzer kann durch eine SQL-Schwachstelle beliebigen Code ausführen und damit Datenverlust hervorrufen.

PRODSECBUG-2285: Remote-Code-Execution (RCE) - kritisch (8,5)
Ein Administrator mit Rechten zum Speichern der Konfiguration kann beliebigen Code, der an Redis übergeben wird, über eine serverseitige Request Forgery (SSRF) ausführen. SSRF wird durch die konfigurierte XML-URL-Konfiguration von Gateways möglich.

PRODSECBUG-2273: Ausführung von beliebigem PHP-Code - kritisch (8,5)
Ein Administrator kann beliebigen PHP-Code ausführen, wenn er über die Berechtigung zum Konfigurieren von Produkten verfügt.

PRODSECBUG-2261: Beliebige Ausführung von Code durch unsichere Deserialisierung eines PHP-Archivs - kritisch (8,5)
Ein Administrator kann beliebigen Code durch eine Schwachstelle in der Phar-Deserialisierung ausführen.

PRODSECBUG-2253: Remote-Code-Execution (RCE) bei Layout-Update - kritisch (8,5)
Ein Administrator mit Rechten für den Dataflow-Importer und Katalogkategorien kann beliebigen PHP-Code ausführen.

PRODSECBUG-2203: Remote-Code-Execution (RCE) durch PHP-Code - kritisch (8,5)
Ein Administartor mit Rechten zum Ändern der Speicherattribute eines Endkunden kann beim Hochladen von PHP-Eingabedateien auf den NGINX-Servern, schädlichen Code ausführen.

PRODSECBUG-2210: Remote-Code-Execution (RCE) durch beliebige XML-Datei - kritisch (8,5)
Ein Administrator mit der Berechtigung zum Ändern von Layouts kann beliebigen Code ausführen, indem er XML-Daten in die Layouttabelle einfügt.

PRODSECBUG-2252: Arbitrary-Code-Execution (ACE) durch Umgehen der Einschränkung für Hochladen von PHP-Dateien - kritisch (8,5)
Ein Administrator mit Rechten für Systemkonfigurationsdateien kann die Beschränkung für das Hochladen von Dateien umgehen. Dadurch kann er beliebigen PHP-Code hochladen und ausführen.

Weitere Informationen zu den geschlossenen Sicherheitslücken sowie den Download finden Sie unter Magento SUPEE-11086.

Optimierungen und Fehlerkorrekturen in Magento 1.9.4.1 und 1.14.4.1

Neben den 25 Sicherheitskorrekturen wurden zudem 11 weitere Optimierungen in Magento 1.9.4.1 und Magento 1.14.4.1 durchgeführt, unter anderem:

  • Die mehrstufige Navigation funktioniert jetzt korrekt, auch bei Aktivierung eines Full-Page-Caches. Zuvor war es nicht möglich, Layer-Navigationsfilter zu deaktivieren, wenn ein Full-Page-Cache oder Block-Cache aktiviert war.

  • Magento hat übermäßig viele 404-Fehler angezeigt, die durch eine problematische PHP-Fehlerprotokollierung hervorgerufen wurden. Dies wurde jetzt behoben.

  • Neuer Benachrichtigungstext bei Eingabe eines ungültigen Zeichens: Attribute code is invalid. Please use only letters (a-z), numbers (0-9) or underscore() in this field, first character should be a letter. Do not use "event" for an attribute code.

  • URL-Weiterleitungen für Produkte funktionieren jetzt wie erwartet. Zuvor wurde bei der Auswahl eines Produktes auf einer Kategorieseite bei gleichzeitiger Aktivierung von "Add URL Redirect" eine Weiterleitung des Nutzers zur URL-Umleitungsinformation durchgeführt. Dabei wurde folgender Fehler angezeigt: _'Mage_Core_Exception'): 'Invalid block type: Mage_Adminhtml_Block_Empty_EditForm' in app/Mage.php:580.

  • Beim Versuch eine Webseite mittels des Buttons "Delete Website" zu löschen, wurde ein fataler Fehler angezeigt. Jetzt funktioniert der Button wie erwartet.

Alle weiteren Fehlerkorrekturen finden Sie in den Magento Release Notes 1.9.4.1 und Magento Release Notes 1.14.4.1.

maxcluster Handlungsempfehlung

Wir empfehlen Ihnen dringend, den Patch SUPEE-11086 zu installieren, da es sich um eine schwerwiegende Sicherheitslücke handelt. Optimal ist unserer Ansicht nach, die Installation des Updates Magento 1.9.4.1, da hier nicht nur die Sicherheitslücken geschlossen werden, sondern auch elf weitere Optimierungen bzw. Fehlerkorrekturen umgesetzt wurden.

Sollten Sie Fragen haben oder sich Unterstützung wünschen, kontaktieren Sie gern unser Supportteam.