Kritisches Sicherheitsupdate: Magento SUPEE-6285

8. Juli 2015

Gestern hat das Magento Team neben den bereits bekannten Patches SUPEE-5344 und SUPEE-5994, einen weiteren kritischen Sicherheitspatch mit dem Namen SUPEE-6285 veröffentlicht.

Betroffen sind alle Magento Versionen kleiner 1.9.2!

Laut Changelog wurden folgende Lücken geschlossen:

Customer Information Leak via RSS and Privilege Escalation: Fehlerhafte Checks führen dazu das Kundeninformationen (Bestellinfos, Bestell IDs, Kundenname) ausgelesen werden können. Mit diesen Daten sind weitere Angriffe auf Gastbestellungen möglich. In seltenen Fällen können Admin-Rechte erlangt werden!

Request Forgery in Magento Connect Leads to Code Execution: CSRF im Magento Connect Manager erlaubt die Installation von Modulen wenn ein eingeloggter Shop-Administrator auf einen präparierten Link klickt.

Cross-site Scripting in Wishlist: Ermöglicht den Versand von Phishing eMails über den Shop.

Cross-site Scripting in Cart: Über URL-Parameter kann JavaScript in den Checkout injiziert werden, dies ermöglicht das abgreifen von Cookie-Informationen. Mit Hilfe der Cookie Informationen kann sich der Angreifer als Kunde des Shops ausgeben.

Store Path Disclosure: Durch direkten Aufruf von Magento Connect URLs werden Fehlerseiten, unabhängig der Servereinstellung, generiert die Informationen zum Installationspfad des Shops enthalten.

Permissions on Log Files too Broad: Dateirechte von Logfiles sind zu offen, Kunden des gleichen Servers können die Logs anderer Kunden auslesen oder manipulieren. (Wir kapseln unsere Kunden in kleinen Containern, ein Übergriff ist somit nicht möglich. :))

Cross-site Scripting in Admin: Injektion von Javascript im Adminbereich ermöglicht die Übername eines anderen Admin-Accounts.

Cross-site Scripting in Orders RSS: Ermöglicht das einfügen von falschen Informationen in den „Neue Bestellungen“ RSS-Feed.

Wie wir bereits aus SUPEE-5344 und SUPEE-5994 gelernt haben sind ungepatchten Magento Versionen nach 48h erfolgreich angegriffen worden, die Patches sollten daher schnellstmöglich eingespielt werden!

Für unsere Kunden bieten wir wie immer einen Patch-Service zum Pauschalpreis an, öffnet zur Beauftragung der Patches ein Support-Ticket im Kundencenter. Wir kümmern uns kurzfristig darum 🙂

Ebenfalls interessant

17 Jahre rack::SPEED und ein besonderes Jubiläumsangebot

Seit 17 Jahren liefern wir hochperformante und flexible Hosting- und Serverlösungen mit einzigartigem Kundensupport für die täglichen Herausforderungen des Online-Business.…

PHP 8.4 & Imagick für PHP 8.3 - Mehr Performance und neue Möglichkeiten

Gute Nachrichten für alle Entwickler und Agenturen: Ab sofort sind PHP 8.4 und Imagick für PHP 8.3 bei uns erhältlich.…

PCI DSS 4.0 - Was du jetzt wissen musst

Ab dem 31. März 2025 wird die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) 4.0 für alle…