Blog

9. Februar 2017

SUPEE-9652 – Magento Patch für Zend Frame Sicherheitslücke

SUPEE-9652 Patch für das Zend Framework

Magento hat für die Sicherheitslücke im Zend Framework 1 und 2 den Patch SUPEE-9652 veröffentlicht. Worauf Sie vor der Installation achten sollten.

Bisherige Lösungsversuche

Mit dem Blogbeitrag vom 16. Januar 2017 haben wir Sie auf eine Sicherheitslücke im Zend Framework 1 und 2 hingewiesen sowie Ihnen zwei Möglichkeiten zum weiteren Verfahren vorgeschlagen. Erste Möglichkeit war das Workaround von Magento mit Änderungen in den E-Mail Einstellungen. Alternative 2 war eine maxcluster Lösung mit Ergänzungen im Quelltext. Magento hat schließlich das Problem behoben und am 7. Februar den Patch SUPEE-9652 veröffentlicht.

Alternative 1

Angenommen Sie haben im Januar die Alternative 1 gewählt, dann können Sie nun den Patch installieren und zuvor oder anschließend Ihre E-Mail Einstellungen auf Ihre vorherigen Einstellungen zurücksetzen. Die Patches können Sie beispielsweise hier herunterladen.

Alternative 2

Falls Sie Alternative 2, also die maxcluster Lösung, gewählt haben, wurde der Quelltext im Zend Framework wie folgt ergänzt:

$froms = implode(‚,‘, $headers[‚From‘]);
if ($froms) {
if (preg_match(‚/\\\“/‘, $froms)) {
#require_once ‚Zend/Mail/Transport/Exception.php‘;
throw new Zend_Mail_Transport_Exception(‚Potential code injection in From header‘);
}
}

Da nun ein Sicherheitsupdate vorliegt, kann diese Änderung ebenfalls rückgängig gemacht werden. Bevor Sie mit der Installation des Patches SUPEE-9652 beginnen, sollte zuerst der obige Quelltext entfernt werden.

SUPEE-9652 installieren

Den Patch SUPEE-9652 können Sie zum Beispiel hier herunterladen. Bevor Sie diesen Patch einspielen, empfehlen wir Ihnen davor die bisherigen Änderungen aus Alternative 1 und besonders aus Alternative 2 rückgängig zu machen. Ausführliche Anweisungen zur Installation sowie weitere Hinweise zum Patch finden Sie in den Release Notes von Magento.

Bild: maxcluster GmbH, 2017

Teile diesen Beitrag