Kritische Magento Sicherheitslücke – Patch (SUPEE-5344) erforderlich!

Fast still und heimlich hat das Magento Team am 09.02.2015 einen Patch für fast alle Magento Versionen veröffentlicht. Im Netz und per Google lassen sich kaum Infos zum Patch finden daher reichen wir diesen Beitrag erst jetzt nach.

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern. Diese Dateien können später für weitere Angriffe auf externe Ziele oder als Backdoor zum Shop verwendet werden.

Betroffen sind die Magento Versionen CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen!

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden mit einem SSD Business Hosting oder CloudServer können die Updates jederzeit wie oben beschrieben per SSH einspielen, SSD StartUp und Kunden älterer Tarife können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen. – Für das Einspielen des Patches berechnen wir eine einmalige Servicegebühr.


GHOST: glibc Schwachstelle gepatcht (CVE-2015-0235)

GHOST Glibc CVE-2015-0235

Die gestern Abend bekanntgewordene Sicherheitslücke CVE-2015-0235 wurde von der französischen Sicherheitsfirma Qualys entdeckt und wird als „kritisch“ eingestuft.

In bestimmten Situationen reicht es aus eine präparierte eMail an ein verwundbares System zu senden um dieses zu übernehmen, die zur Verfügung stehenden Sicherheitsupdates sollten daher sofort eingespielt werden.

CloudLinux und CentOS, die Basis unserer Server lassen sich mit folgenden Befehlen auf den neusten Stand bringen:

yum clean all && yum update glibc -y

CVE-2015-0235 wurde bereits auf allen rack::SPEED Systemen gepatcht!

Detailierte technische Informationen gibt es wie immer auf heise.de.

(Bild: jbruce, OpenClipart)


CVE-2014-6217 und CVE-2014-7169 auf allen rack::SPEED Servern gepatcht!

Die am Mittwoch Abend veröffentlichte Sicherheitslücke CVE-2014-6217 (Shellshock) wurde bereits in der Nacht zu Donnerstag auf allen Servern gepatcht.

Wie sich einen Tag später herausstellte war der Patch allerdings nicht vollständig. Durch eine kleine Anpassung des Angriffs konnte die Sicherheitslücke wieder ausgenutzt werden was einen weiteren Patch zur Folge hatte. Dieser wurde heute Morgen bereitgestellt und sofort von uns eingespielt. Das dazugehörige CVE-2014-7169 wurde auf den Namen Aftershock getauft.

CVE-2014-6217 (Shellshock) und CVE-2014-7169 (Aftershock) wurden auf allen Servern gepatcht.

Technische Informationen zur Sicherheitslücke gibt es unter anderem auf heise.de


Neuausstellung der SSL-Zertifikate nach Heartbleed-Bug

Bereits am Dienstag haben wir über den gravierenden OpenSSL-Bug namens „Heartbleed“ berichtet und entsprechende Gegenmaßnahmen eingeleitet.

Eine akute Gefahr des Passwort- oder Schlüsseldiebstahls besteht daher seit Dienstag nicht mehr!

Dennoch bleibt ein gewisses Restrisiko was die verwendeten Passwörter und SSL-Zertifikate angeht, da keinerlei Möglichkeit besteht einen evtl. erfolgten Angriff nachzuvollziehen. Auf heise.de findet Ihr eine genaue Erklärung wie der Angriff funktioniert.

Wie geht es nun weiter?

Da die evtl. ausgelesenen Informationen im Zusammenhang mit Sicherheitsfunktionen des Servers stehen, empfehlen wir Euch dringend alle Passwörter zu ändern. Nicht nur bei uns sondern bei eigentlich allen Onlinediensten die Ihr nutzt. – Wir haben in den letzten Tagen bereits mehrfach die Passwörter unserer Server geändert, sicher ist sicher. 🙂

Was wir noch getan haben?

Darüber hinaus haben wir direkt nach Bekanntwerden der Auswirkungen alle von uns genutzten SSL-Zertifikate (Kundencenter, cPanel, Mail- und FTP-Server) neu generiert (reissue) und auf allen Servern eingebunden. Die zuvor genutzten Zertifikate werden kurzfristig zurückgezogen (revoke). – Damit könnt Ihr der Kommunikation mit unseren Servern und Diensten wieder zu 100% vertrauen, ein evtl. abgegriffener privater Schüssel unserer SSL-Zertifikate ist damit nutzlos geworden. 🙂

Was Ihr noch tun könnt:

Auch wenn ein Missbrauch evtl. abgegriffener Schlüssel äußerst unwahrscheinlich ist, wird ein Austausch der SSL-Zertifikate von verschiedensten Stellen u.a. dem BSI empfohlen. Wir bieten unseren Kunden daher die kostenlose Neuausstellung der über uns bezogenen Zertifikate an.

Da uns eine solche Aktion, neben dem normalen Tagesgeschäft, vor eine kleine Herausforderung stellt, bitten wir Euch den folgenden Punkteplan zu beachten:

  1. Öffnet ein Support-Ticket im SSL-Zertifikate Bereich mit der / den Domains für die Ihr neue Zertifikate benötigt.  (Login erforderlich!)
  2. Ihr erhaltet kurzfristig weitere Anweisungen zum Ablauf und einen Link mit dessen Hilfe Ihr die Neuausstellung des SSL-Zertifikates (reissue) starten könnt.
  3. Sobald das Zertifikat von der Vergabestelle neu ausgestellt wurde erhalten wir dieses zur Installation auf dem Server.
  4. Unser Support-Team installiert das neue Zertifikat und informiert Euch über den Erfolg.
  5. Ihr könnt nun das alte Zertifikat über den in Punkt 2 erhaltenen Link zurückziehen (revoke).

Wir bemühen uns alle Anfragen zeitnah zu beantworten. Bitten allerdings schon jetzt um euer Verständnis, dass die Bearbeitung einige Tage in Anspruch nehmen wird.

Muss ich mein Zertifikat neu ausstellen lassen?

Nein, nicht zwangsläufig da durch Einsatz der sicheren OpenSSL-Version ein Abgreifen der Informationen zuverlässig verhindert wird! Wird das Zertifikat nicht erneuert, besteht die „Gefahr“ eines „Man-in-the-Middle“ Angriffs bei dem mitgeschnittener Datenverkehr entschlüsselt werden kann. Dies ist allerdings nicht ohne Weiteres möglich. – Nebenbei bemerkt haben einige Banken und große Konzerne heute noch nicht einmal die Lücken gepatcht, geschweige denn die Zertifikate erneuert. 😉


CVE-2014-0160 (Heartbleed) auf allen rack::SPEED Servern gepatcht!

Die heute bekannt gewordene OpenSSL Sicherheitslücke „Heartbleed“ (CVE-2014-0160) wurde auf allen rack::SPEED Servern gepatcht. Das Problem betrifft nicht nur unsere Server, es ist sehr weit verbreitet und betrifft weltweit verschiedenste Computer- / Betriebssysteme.

Eine ausführliche Beschreibung der Sicherheitslücke und der möglichen Auswirkungen findet Ihr auf heise.de.

Die vom OpenSSL-Team bereitgestellten Updates wurden ohne Auswirkungen auf die Server und deren Betrieb eingespielt. Dennoch mussten alle gegen OpenSSL gelinkten Dienste neugestartet werden um das Sicherheitsupdate sofort zu „aktivieren“. Aufgrund der Neustarts der betroffenen Dienste (Apache, SSH, cPanel, Mail, usw) gab es ganz kurze Serviceunterbrechungen.

Wir bitten evtl. beobachtete kurze Aussetzer zu entschuldigen. Unter Berücksichtigung der Auswirkungen haben wir uns für Dienstneustarts am Tag, und nicht wie sonst üblich in der Nacht, entschieden.


Kritische Magento Sicherheitslücke – Patch erforderlich!

Am 11.12.2013 wurde im Magento Core eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz inkl. Datenbank zu erhalten.

Betroffen sind alle Magento Versionen von 1.4.0.0 bis 1.7.0.2! – Die letzte aktuelle Version 1.8.0.0 ist nicht betroffen.

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Öffnen der Datei app/code/core/Mage/Cms/Helper/Wysiwyg/Images.php auf dem Server
  4. Einspielen des Patches
    1. Nach „public function getCurrentPath()“ (ohne „“) in der Datei Images.php auf dem Server suchen
    2. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt
  5. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen.


US-CERT warnt vor kritischer Joomla-Lücke

Das US-CERT hat eine Warnung zu einer kritischen Sicherheitslücke im Joomla CMS veröffentlicht. Bei einer nicht ganz aktuellen Versionen können Angreifer demnach über den Joomla Media Manager aktive Inhalte wie eine PHP-Shell hochladen und anschließend ausführen. Das gibt den Angreifern weitgehende Kontrolle über den Server und die im Account gespeicherten Daten und Datenbanken.

Betroffen sind die Joomla-Versionen bis 2.5.13 bzw. 3.1.4. Da bereits ein Metasploit-Modul verfügbar ist, das den Angriff ohne Fachkenntnis ermöglicht, sollte das Update schnellstmöglich eingespielt werden.


WordPress: Social Media Widget verbreitet SPAM!

Kurz vor dem Wochenende ein wichtiger Hinweis an alle WordPress User die das „Social Media Widget“ in Ihrem Blog einsetzen. Laut der Sicherheitsfirma Sucuri enthält das Plugin ab Version 4.0 Schadcode der zum Versand von SPAM und nachladen anderer Dateien genutzt werden kann, das Plugin sollte daher sofort deaktiviert und aus dem Blog gelöscht werden.

Wie der Schadcode in das Plugin gelangen konnte steht noch nicht ganz fest, ob dies mit dem Entwicklerwechsel im Januar zusammenhängt ist bisher unklar.


Zend Framework Sicherheitslücke – Patch erforderlich!

Soeben wurde von Varien in einem Blogbeitrag bekannt gegeben, dass im Zend Framework (XMLRPC-Funktion) welches Magento zu Grunde liegt eine gravierende Sicherheitslücke entdeckt wurde.

Betroffen sind alle Magento Versionen von 1.4.0.0 bis 1.7.0.1! – Die letzte aktuelle Version 1.7.0.2 ist nicht betroffen.

In unserem Forum wurde soeben eine detailierte Schritt-für-Schritt Anleitung zur Beseitigung der Sicherheitslücke hinterlegt.


Sicherheitsupdate: Magento 1.7.0.2 erschienen!

Die aktuelle Version 1.7.0.2 ist ein reines Sicherheitsrelease und behebt die folgenden Fehler:

Laut Release-Notes wurden zahlreiche Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!