Blog

30. November 2017

Magento 1 Sicherheitsupdates – SUPEE-10415

Sicherheitsupdate magento

Magento schließt kritische Sicherheitslücken mit den Sicherheitsupdates für die Commerce Edition 1.9.0.0 – 1.14.3.6 und Open Source Edition 1.5.0.0 – 1.9.3.6. 

Geschlossene Sicherheitslücken

Magento veröffentlichte am 28. November 2017 für die Commerce Edition 1.9.0.0 – 1.14.3.6 und Open Source Edition  1.5.0.0 – 1.9.3.6 wichtige Sicherheitsupdates. Diese sind allerdings bereits in den Versionen 1.14.3.7 (Commerce) und 1.9.3.7 (Open Source) enthalten. Mit dem Release wurden einige kritische Sicherheitslücken behoben, aber letztlich auch viele funktionale Updates eingeführt. Zu den Sicherheitslücken gehören unter anderem Schwachstellen, die schließlich zu einer „Remote Code Execution“ (RCE) führen könnten, wie zum Beispiel:

APPSEC-1894: Remote Code Execution – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in die Promofelder einfügen. Dies würde zu einer beliebigen „Remote Code Execution“ (RCE) führt.

APPSEC-1915: Remote Code Execution – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte eine fehlerhafte CMS-Seite bauen, wodurch letztendlich eine beliebige „Remote Code Execution“ (RCE) hervorgerufen werden könnte.

APPSEC-1830: Remote Code Execution – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in Produktattribute einschleusen. Dies könnte zu einer beliebigen „Remote Code Execution“ (RCE) führen.

APPSEC-1861: Remote Code Execution – 8.2 (hoch)

Ein Administrator mit begrenzten Rechten könnte Schadcode in Produkteinheiten einschleusen. Dies könnte zu einer beliebigen „Remote Code Execution“ (RCE) führen.

Aktuelle Probleme mit dem Sicherheitsupdate

Aktuell führt die Installation des Sicherheitsupdates unter Magento 1.9.1.1 zu Schwierigkeiten. Deshalb werden Details und Workarounds auf Stackexchange diskutiert.

Magento Release Notes

Zu den betroffenen Versionen veröffentlichte Magento einzelne Release Notes. Diese liefern ausführliche Informationen zu dem jeweiligen Update. Außerdem enthalten sie wichtige Hinweise durch Durchführung der Sicherheitsupdates.

Unsere Empfehlung

Anfangs empfehlen wir dieses Update zunächst in einer Testumgebung einzuspielen. Dabei sollten die Anweisungen der Release Notes der jeweiligen Version unbedingt befolgt werden. Nach einem erfolgreichem Testlauf, empfehlen wir anschliessend eine Installation.

Bei Fragen und Schwierigkeiten unterstützen wir unsere Kunden ebenfalls gern persönlich. Wenden Sie sich hierfür bitte kurzum an unser erfahrenes Adminteam unter support@maxcluster.de.