Blog

13. Juli 2017

Update für Magento Patch SUPEE-9767

SUPEE-9767

Seit heute ist ein Update für SUPEE-9767 verfügbar. Der Sicherheitspatch wurde bereits am 31. Mai 2017 veröffentlicht; jetzt ist Version 2 verfügbar.

Die im Mai veröffentlichte erste Version des Patches führte allerdings bei einigen Onlineshops zu Problemen. Zum Beispiel gab es Schwierigkeiten bei der Benutzerregistrierung per OnePage Checkout oder bei offenen Sessions mit dem Bezahlvorgang. Diese und weitere Probleme wurden inzwischen mit Version 2 des Patches behoben. Die Version 2 ist außerdem bereits in den Magento Versionen Enterprise 1.14.3.4 und Community 1.9.3.4 enthalten.

Welche Sicherheitslücken werden mit SUPEE-9767 behoben?

Mit dem Magento Sicherheitsupdate SUPEE-9767 werden 16 APPSEC Updates durchgeführt und damit einige kritische Sicherheitslücken geschlossen. Unter anderem wurden folgende Sicherheitslücken behoben:

  • APPSEC-1281 (8.8 – hohes Risiko)
    Angriffe sind bei Verwendung von AllowSynlinks möglich. Hierdurch kann Schadcode hochgeladen und ausgeführt werden.
  • APPSEC-1320 (8.8 – hohes Risiko)
    SQL Injection Angriffe im Visual Merchandiser sind möglich.
  • APPSEC-1686 (8.8 – hohes Risiko)
    Administratoren, welche CMS-Seiten bearbeiten, können beliebigen (Schad-)Code hochladen und ausführen.
  • APPSEC-1777 (8.8 – hohes Risiko)
    Falls DataFlow verwendet wird, kann Schadcode hochgeladen werden.
  • APPSEC-1634 (8.7 – hohes Risiko)
    Verwundbarkeit über Cross-Site Scripting (XSS) in verschiedenen Tabellen.
  • APPSEC-1759 (8.1 – hohes Risiko)
    Über Cross-Site Scripting (XSS) ist ein Angriff über die Konfiguration möglich.
  • APPSEC-1549 (8.0 – hohes Risiko)
    Verwundbarkeit für Cross-Site Request Forgery (CSRF) durch nicht invalidierte form keys nach dem Logout.

Weitere mittlere und leichte Sicherheitsrisiken wurden außerdem von dem Sicherheitsupdate behoben.

Neue Releases

Die neuen Releases enthalten bereits SUPEE-9767 in Version 2. Als Alternative zum Sicherheitspatch kann deshalb auch ein Upgrade auf die neueste Version durchgeführt werden.

Alle Details und Downloads finden Sie hier:

Magento Community Edition 1.9.3.4

Magento Enterprise Edition 1.14.3.4

Unsere Handlungsempfehlung

Wir empfehlen Ihnen, den Patch SUPEE-9767 Version 2 zu installieren. Sollten Sie bereits erfolgreich den Patch in Version 1 installiert haben oder die Magento Community Edition 1.9.3.3 oder Enterprise 1.14.3.3 nutzen, empfehlen wir Ihnen trotzdem ein Update auf Version 2 oder die neuen Releases (Community 1.9.3.4 und Enterprise 1.14.3.4), um auch zukünftig Probleme zu vermeiden.

Wichtig: Die Version 1 des Patches muss vor dem Deployment von Version 2 deinstalliert werden.

Für die Community Edition ist das Update des Patches kurzum im Release Archiv verfügbar. (Download – Patch für Community Edition)

Das Patchupdate für die Enterprise Edition steht nach dem Einloggen in My Account zur Verfügung. Dort können Sie einfach zu der gewünschten Version navigieren und diese herunterladen.

Hinweis: Bevor Sie den Patch oder das Upgrade auf die neueste Version anwenden, müssen Sie die Symlinks-Einstellung unter ‚System> Konfiguration> Erweitert> Entwickler> Symlinks aktivieren‘ deaktivieren. Diese Option wird allerdings mit dem Patch entfernt werden. Sollte Ihre Magento-Installation Symlinks benötigen, müssen Sie Ihre Verzeichnisstruktur erst anpassen, bevor Sie die Option deaktivieren und den Patch installieren können. Dieses ist unter anderem dann der Fall, wenn Sie modman verwenden oder wir für Sie Redis in Ihren Shop integriert haben.

Für diesen Patch ist es gegebenenfalls notwendig, Template Dateien zu überarbeiten. Die Installation sollte vorab auf einer Testumgebung ausgiebig getestet werden.

Weitere Hinweise zum Patch lassen sich beispielsweise auf dem Magento StackExchange nachlesen. Informationen zur erfolgreichen Installation und zum Zurücksetzen von Patches finden Sie des Weiteren in „How to apply and revert Magento patches“.

Bild: Marie Maerz / photocase.de

Teile diesen Beitrag