WordPress: Social Media Widget verbreitet SPAM!

Kurz vor dem Wochenende ein wichtiger Hinweis an alle WordPress User die das „Social Media Widget“ in Ihrem Blog einsetzen. Laut der Sicherheitsfirma Sucuri enthält das Plugin ab Version 4.0 Schadcode der zum Versand von SPAM und nachladen anderer Dateien genutzt werden kann, das Plugin sollte daher sofort deaktiviert und aus dem Blog gelöscht werden.

Wie der Schadcode in das Plugin gelangen konnte steht noch nicht ganz fest, ob dies mit dem Entwicklerwechsel im Januar zusammenhängt ist bisher unklar.


Zend Framework Sicherheitslücke – Patch erforderlich!

Soeben wurde von Varien in einem Blogbeitrag bekannt gegeben, dass im Zend Framework (XMLRPC-Funktion) welches Magento zu Grunde liegt eine gravierende Sicherheitslücke entdeckt wurde.

Betroffen sind alle Magento Versionen von 1.4.0.0 bis 1.7.0.1! – Die letzte aktuelle Version 1.7.0.2 ist nicht betroffen.

In unserem Forum wurde soeben eine detailierte Schritt-für-Schritt Anleitung zur Beseitigung der Sicherheitslücke hinterlegt.


Sicherheitsupdate: Magento 1.7.0.2 erschienen!

Die aktuelle Version 1.7.0.2 ist ein reines Sicherheitsrelease und behebt die folgenden Fehler:

Laut Release-Notes wurden zahlreiche Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Update: Magento 1.7.0 erschienen!

Die Magento Community Version CE 1.7.0.0 bringt einige Neuerungen und Features mit sich, dazu zählen u.a.:

  • Verbesserte Layered Navigation (verschiedene Preisstufen nach Größe)
  • Captchas hinzugefügt
  • Basispreise nach Kundengruppe
  • Automatische Generierung von Coupon-Codes
  • Neue Backup und Restore-Funktionen
  • Prüfung der UstID
  • DHL Europa
  • REST API
  • Neues Mobile Theme

Laut Release-Notes wurden zahlreiche Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Update: Magento 1.6.0 erschienen!

Das Magento Update der Version 1.6 wurde gestern Abend veröffentlicht. Neben den üblichen Bugfixes ist dieses Mal ein lang erwartetes Features hinzugekommen, der „persistente Warenkorb„!

Mit Hilfe des persistenten Warenkorbs können Kunden unabhängig von der aktuellen Browsersession auf die im Warenkorb abgelegten Produkte zugreifen, das lästige Neubefüllen nachdem der Browser geschlossen wurde entfällt damit!

Laut Release-Notes wurden über 300 Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Sicherheits-Update: Magento 1.5.0.1 schließt gravierende Sicherheitslücke!

Aufgrund der gravierenden Sicherheitslücke in Magento Version 1.5.0.0 wurde heute ein weiteres Update herausgebracht. Wir stufen das Update als kritisch ein und empfehlen jedem Nutzer der Version 1.5.0.0 das Update kurzfristig einzuspielen!

Das Update entfernt die fehlerhafte Implementierung des neuen Datenbank-Storage und schließt so ersteinmal das entstandene Leck. Man will nun die fehlerhafte Funktion prüfen und in einem späteren Release wieder einbauen, dennoch fragt man sich wie ein so grober Fehler passieren konnte…

Laut Release-Notes wurden weitere Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Magento 1.5.0.0 enthält gravierende Sicherheitslücke!

Im Root der aktuellen Magento Version 1.5.0.0 befindet sich eine Datei mit dem Namen get.php. Mit Hilfe dieser Datei kann jede beliebige Datei im Kundenaccount geöffnet und heruntergeladen werden, u.a. auch die app/etc/local.xml mit sensiblen Datenbankinformationen!

Derzeit füllt sich das Magento-Forum und einige Blogs mit ähnlichen Berichten, so dass wir derzeit DRINGEND von einem Update auf die aktuelle Version 1.5.0.0 abraten!

Wirft man einen Blick in den SourceCode könnte man davon ausgehen, dass dieser Code dem Auslesen von Daten aus einem Datenbank-Storage dient.

Sollten Sie bereits ein Update durchgeführt haben können Sie den Zugriff, durch hinzufügen der folgenden Zeilen zu Beginn der .htaccess Datei, unterbinden:

<Files „get.php“>
Deny from all
</Files>

Der Aufruf von http://IHRE-DOMAIN.TLD/get.php/app/etc/local.xml sollte dann nicht mehr funktionieren.


Update: Magento 1.5.0 mit vielen Neuerungen erschienen!

Das Magento Update der Version 1.5 wurde heute veröffentlicht. Neben dem üblichen Bugfixes sind dieses Mal wieder einige lang erwartete neue Features hinzugekommen, wie z.B.:

  • Bugfix des Rundungsfehlers bei Bestellungen.
  • SOAP-API für Warenkorbfunktionen
  • Neues Import/Export Modul mit besserer Performance durch direkten DB-Zugriff.
  • Verwaltung von zusätzlichen Bestellstati über das Backend.
  • Verwaltung des Medienspeichers im Backend, zur Auswahl stehen Dateisystem oder Datenbank.
  • Produkte im Warenkorb lassen sich nachträglich ändern.
  • Versand- und Rechnungsadresse ist im Backend bearbeitbar.
  • Aktualisierung des Zend Framework auf die Version 1.11.1

Laut Release-Notes wurden diverse Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Sicherheits-Update: TYPO3 Version 4.4.5

Das gestern veröffentlichte TYPO3 Update behebt mehrere Sicherheitslücken die von den Entwicklern als hoch eingestuft werden.

Bei den Sicherheitslücken handelt es sich um: Arbitrary Code Execution, Cross-Site Scripting (XSS), Information Disclosure, Path Traversal und SQL-Injection. Die Entwickler raten das bereitgestellte Update kurzfristig einzuspielen!

Weitere Infos befinden sich im TYPO3 Security Bulletin TYPO3-SA-2010-022.