Blog

8. November 2017

Magento 2.2.1, 2.1.10 und 2.0.17 Sicherheitsupdate

Security Update

Magento hat am 7. November 2017 für die Commerce und Open Source Editionen 2.2.1, 2.1.10 sowie 2.0.17 wichtige Sicherheitsupdates veröffentlicht. Damit werden unter anderem Sicherheitslücken wie „Remote Code Execution“ (RCE) geschlossen.

Geschlossene Sicherheitslücken

Mit dem gestrigen Release wurden einige kritische Sicherheitslücken geschlossen, aber auch viele funktionale Updates eingeführt. Zu den Sicherheitslücken gehören unter anderem Schwachstellen, die zu einem „Remote Code Execution“ führen könnten, wie zum Beispiel:

APPSEC-1825: Remote Code Execution (RCE) – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in E-Mail Templates einfügen und damit die Möglichkeit für eine „Remote Code Execution“ schaffen.

APPSEC-1830: Remote Code Execution (RCE) – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in Produktattribute einschleusen. Dies könnte zu einer beliebigen „Remote Code execution“ führen.

APPSEC-1861: Remote Code Execution (RCE) – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in die Promofelder einfügen. Dies würde zu einer beliebiger „Remote Code Execution“ führen.

APPSEC-1931: Arbitrary File Deletion – 7.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte schädlichen Code einschleusen, um sensible Daten zu löschen.

APPSEC-1910: Local File Inclusion (LFI) & möglicher RCE – 6.1 (mittel)

Ein Administrator mit begrenzten Rechten könnte kritische Systemdateien löschen. Dadurch könnte er anschließend über den Bereich Importprotokoll eine Berechtigung zur Eskalation erhalten.

Aktuelle Update Probleme

Unter bestimmten Umständen ist es aktuell nicht möglich, die neuen Magento Versionen über Composer zu installieren. Hierzu gibt es aktuell zwei Workarounds: Zum einen lassen sich neue Magento Keys im Magento Marktplace generieren. Zum anderen hat der Magento Entwickler Andreas von Studnitz ein Workaround erarbeitet, indem er die composer.json angepasst hat. Weitere Details werden auch auf Github diskutiert.

Magento Release Notes

Magento hat zu den Versionen einzelne Release Notes verfasst, die ausführliche Informationen zu dem jeweiligen Update liefern.

Unsere Empfehlung für das Sicherheitsupdate

Wir empfehlen, dieses Update zunächst in einer Testumgebung einzuspielen und den Anweisungen der Release Notes der jeweiligen Version zu folgen. Nach erfolgreichem Testlauf, empfehlen wir eine zeitnahe Installation.

Bei Fragen und Schwierigkeiten unterstützen wir unsere Kunden gern. Wenden Sie sich hierfür bitte an unser erfahrenes Team unter support@maxcluster.de.

Teile diesen Beitrag