Blog

16. Januar 2017

Sicherheitsrisiko für Magento Shops: Lücke im Zend Framework 1 und 2

Sicherheitsrisiko für Magento Shops

Im E-Mail Versand des Zend Frameworks 1 und 2 wurde eine Schwachstelle gefunden. Dieses Sicherheitsrisiko für Magento Shops betrifft sowohl alle Magento 1 und 2 Versionen sowie andere PHP Lösungen. Diese Sicherheitslücke kann zu einem „Remote Code Execution“-Angriff führen.

Wer ist konkret von dem Sicherheitsrisiko für Magento Shops bedroht?

Sie sind von diesem Sicherheitsrisiko betroffen, insofern Sie keinen SMTP-Relay in Ihren E-Mail Einstellungen von Magento hinterlegt haben.

2 Möglichkeiten, wie Sie Ihren Magento Shop schützen können

Letztendlich gibt es zwei Möglichkeiten, um Ihren Shop aktuell schützen zu können. Erstens können Sie der Empfehlung von Magento folgen, die in Alternative 1 beschrieben wird. Weiterhin haben Sie die Möglichkeit den Quelltext zu ändern, wie in Alternative 2 beschrieben.

Alternative 1: Magento Workaround

Um Ihren Magento Shop vor der Bedrohung zu schützen, empfehlen wir Ihnen, umgehend den „Antwortpfad“ in Ihren Mail Sendeeinstellungen auf „Nein“ umzuschalten. Sie können die Änderungen in der Systemeinstellung im Magento Admin Backend vornehmen, wie im Folgenden beschrieben:

Magento 1: System-> Konfiguration-> Fortgeschritten-> System-> Sendeeinstellungen in Mail-> Antwortpfad setzen -> Nein

Magento 2: Stores-> Konfiguration-> Fortgeschritten-> System-> Sendeeinstellungen in Mail-> Antwortpfad setzen -> Nein

Diese Änderung führt dazu, dass sich das Mail-Rating verschlechtert und möglicherweise nicht mehr alle E-Mails ankommen.

 

Alternative 2: Unser Workaround

Ändern Sie im Zend Framework vom Magento Quelltext folgende Datei: htdocs/lib/Zend/Mail/Transport/Sendmail.php
Sie müssen in der Methode _prepareHeaders() folgenden Quelltext einbinden:

$froms = implode(',', $headers['From']);
if ($froms) {
if (preg_match('/\\\"/', $froms)) {
#require_once 'Zend/Mail/Transport/Exception.php';
throw new Zend_Mail_Transport_Exception('Potential code injection in From header');
}
}

Danach muss der Cache geleert werden.

Hinweis: Sobald Magento einen offiziellen Patch herausbringt, muss dieser Quelltext wieder entfernt werden. Anschließend kann der Patch von Magento eingespielt werden. Bitte prüfen Sie die E-Mail Kommunikation, nachdem dieser Patch eingespielt wurde. Wir führen ferner keine Änderungen am Quelltext durch.

Aktuell kein offizieller Magento Patch

Bislang wurde dieses Sicherheitsrisiko für Magento Shops noch nicht durch Angriffe ausgenutzt. Jedoch ist das Risiko sehr hoch. Aus diesem Grund arbeitet Magento daran, schnell einen Patch zu erstellen. Auch unsere Entwickler haben sich aufgrund des hohen Risikos mit diesem Problem auseinandergesetzt und infolgedessen einen Patch, wie in Alternative 2 beschrieben, entwickelt.

Leider gibt es hierzu noch keine weiteren Informationen. Sobald es einen Patch oder weitere relevante Neuigkeiten zu dieser Bedrohung gibt, werden wir Sie per Newsletter informieren.

Update 9. Februar 2017:

Magento hat den Patch SUPEE-9652 inzwischen veröffentlicht. Dazu haben wir einen Blogbeitrag verfasst.

 

Bild: maxcluster GmbH, 2017

Teile diesen Beitrag