Blog

1. März 2018

Magento 1 und 2 Sicherheitsupdates und SUPEE 10570

Magento 1 und 2 Sicherheitsupdates

Magento 1 und 2 Sicherheitsupdates stehen für die Commerce und Open Source Editionen 2.2.3, 2.1.12 sowie 2.0.18 sowie 1.9.3.8 bzw.  SUPEE-10570 zur Verfügung. Damit werden unter anderem Sicherheitslücken wie „Remote Code Execution“ (RCE) geschlossen.

Geschlossene Sicherheitslücken

Mit dem Release vom 27. Februar 2018 wurden einige kritische Sicherheitslücken geschlossen, aber auch viele funktionale Updates eingeführt. Zu den Sicherheitslücken gehören unter anderem Schwachstellen, die zu einem “ Cross-site Scripting (XSS)“  oder einer Remote Code Execution (RCE) führen könnten, wie zum Beispiel:

APPSEC-1951: JavaScript execution im Administrator Panel – 9.8 (Hoch) (Magento 2)

Ein Benutzer kann Javascript in ein benutzerdefiniertes Eingabefeld einfügen und damit Befehle als Administrator ausführen.

APPSEC-1952: Remote Code Execution (RCE) durch Medienupload – 9.8 (Hoch) (Magento 2)

Ein Administrator mit eingeschränkten Rechten kann ausführbaren Code über die CMS-Bilder oder Medien auf dem Webserver installieren und ausführen

APPSEC-1932: Remote Code Execution (RCE) durch XML-Injection – 9.8 (Hoch) (Magento 1)

Ein Administrator mit eingeschränkten Rechten kann XML-Code in die Layout Tabelle einfügen und damit eine Möglichkeit erschaffen, beliebigen Code auszuführen.

APPSEC-1938: Remote Code Execution (RCE) – dieser zusätzliche Patch ist nicht in SUPEE-9652 enthalten – 9.8 (Hoch) (Magento 1)

Ein Benutzer kann schadhaften Code im Mail „return path“ einfügen, dabei Informationen abspeichern, die zu einer RCE führen.

APPSEC-1964: Remote Code Execution (RCE) durch das Löschen von Dateien – 9.8 (Hoch) (Magento 1)

Ein Administrator mit dem Recht XML Dateien zu Importieren, kann über eine manipulierte XML Datei Schadcode ausführen.

Download Magento 1 und 2 Sicherheitsupdates

Magento hat zu den Versionen einzelne Release Notes verfasst, die ausführliche Informationen zu dem jeweiligen Update liefern.

Magento 1

Als Alternative zum Update von Magento 1 steht der Patch SUPEE 10570 zur Verfügung.

Magento 2

Mit dem Release 2.0.18 hat Magento gleichzeitig den Support für Magento 2.0 eingestellt. Es werden keine weiteren Sicherheitsupdates für Magento 2.0 folgen.

Unsere Empfehlung

Wir empfehlen, die neueste Magento Version Ihres jeweiligen Shopsystems – nach einem erfolgreichen Testlauf in einer Testumgebung – zu installieren. Wichtige Hinweise und Anweisungen sind in den Release Notes beschrieben.

Bei Fragen und Schwierigkeiten unterstützen wir unsere Kunden gern. Wenden Sie sich hierfür bitte an unser erfahrenes Adminteam unter support@maxcluster.de.

Wenn Sie die Magento Version 2.0 verwenden, empfehlen wir Ihnen ein Upgrade auf Magento 2.2 vorzubereiten.