Am 14.05.2015 hat das Magento Team, neben dem bereits bekannten Patch SUPEE-5344, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-5994 veröffentlicht.
Betroffen sind die Magento Versionen 1.6.x.x – 1.9.1.1, somit auch die bisher als sicher geltende Magento Version 1.9.1.1!
Laut Changelog wurden folgende Lücken geschlossen:
– Admin Path Disclosure: Auslesen des Admin-Pfades auch wenn dieser umbenannt wurde, Brute-Force Attacken sind somit trotz Umbenennung des Admin-Pfades möglich.
– Customer Address Leak through Checkout / Customer Information Leak through Recurring Profile: Kundendaten inkl. Bestelldaten lassen sich durch hochzählen von IDs auslesen. Der Angriff kann vollständig automatisiert werden was die Kundendaten jedes Magento Shops in akute Gefahr bringen!
– Local File Path Disclosure Using Media Cache: Durch fiktive Bild-URLs lassen sich Pfadangaben auf dem Server auslesen.
– Spreadsheet Formula Injection: Ausführung von Schadcode in der Tabellenkalkulation Excel durch von Magento generierte Tabellen.
– Cross-site Scripting Using Authorize.Net Direct Post Module: Angreifer können über spezielle Links versenden um die User-Session zu übernehmen und Zugriff auf das Kundenbackend zu bekommen, ebenfalls sind Bestellungen im Namen des Kunden möglich.
– Malicious Package Can Overwrite System Files: Angreifer können Extensions mit Schadcode veröffentlichen die Dateien direkt auf dem Server überschreiben.
Wie wir bereits aus SUPEE-5344 gelernt haben sind sämltiche ungepatchten Magento Versionen nach 48h mit Malware verseucht, die Patches sollten daher schnellstmöglich eingespielt werden!
Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂