Magento 1.5.0.0 enthält gravierende Sicherheitslücke!

Im Root der aktuellen Magento Version 1.5.0.0 befindet sich eine Datei mit dem Namen get.php. Mit Hilfe dieser Datei kann jede beliebige Datei im Kundenaccount geöffnet und heruntergeladen werden, u.a. auch die app/etc/local.xml mit sensiblen Datenbankinformationen!

Derzeit füllt sich das Magento-Forum und einige Blogs mit ähnlichen Berichten, so dass wir derzeit DRINGEND von einem Update auf die aktuelle Version 1.5.0.0 abraten!

Wirft man einen Blick in den SourceCode könnte man davon ausgehen, dass dieser Code dem Auslesen von Daten aus einem Datenbank-Storage dient.

Sollten Sie bereits ein Update durchgeführt haben können Sie den Zugriff, durch hinzufügen der folgenden Zeilen zu Beginn der .htaccess Datei, unterbinden:

<Files „get.php“>
Deny from all
</Files>

Der Aufruf von http://IHRE-DOMAIN.TLD/get.php/app/etc/local.xml sollte dann nicht mehr funktionieren.


Update: Magento 1.5.0 mit vielen Neuerungen erschienen!

Das Magento Update der Version 1.5 wurde heute veröffentlicht. Neben dem üblichen Bugfixes sind dieses Mal wieder einige lang erwartete neue Features hinzugekommen, wie z.B.:

  • Bugfix des Rundungsfehlers bei Bestellungen.
  • SOAP-API für Warenkorbfunktionen
  • Neues Import/Export Modul mit besserer Performance durch direkten DB-Zugriff.
  • Verwaltung von zusätzlichen Bestellstati über das Backend.
  • Verwaltung des Medienspeichers im Backend, zur Auswahl stehen Dateisystem oder Datenbank.
  • Produkte im Warenkorb lassen sich nachträglich ändern.
  • Versand- und Rechnungsadresse ist im Backend bearbeitbar.
  • Aktualisierung des Zend Framework auf die Version 1.11.1

Laut Release-Notes wurden diverse Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Meet Magento #5.11 16. – 17. Mai 2011 in Leipzig

Meet-Magento geht in die fünfte Runde. Eröffnet wird die Veranstaltung wieder mit einer Keynote von Roy Rubin, anschließend folgen zahlreiche Workshops und Vorträge.

Wie viele sicherlich schon feststellen mussten waren die bisherigen Veranstaltungen immer sehr schnell ausverkauft. Wer zur Veranstaltung möchte sollte daher nicht bis zum regulären Ticketverkauf (ab dem 14.02.2011) warten, sondern bereits vorher eins der vergünstigten Early-Bird-Tickets zwischen dem 01.02.2011 und 13.02.2011 kaufen.

Die Registrierung zum Call 4 Paper für potentielle Referenten ist bis zum 06.02.2011 über ein spezielles Formular auf der Website möglich.


Frohe Weihnachten 2010

Dank Ihnen blicken wir auf ein erfolgreiches Jahr zurück und möchten uns dafür ganz herzlich bei Ihnen bedanken! So haben wir zum Ende des Jahres unsere neuen Cloud-Server Angebote vorgestellt und bereits einige neue Features für das Jahr 2011 vorbereitet die Sie bei der täglichen Arbeit unterstützen werden, lassen Sie sich überraschen! – Ebenfalls neu ist unsere Facebook Fan-Page mit deren Hilfe wir in Zukunft noch näher am Kunden arbeiten wollen, werden Sie Fan von rack::SPEED und wirken Sie aktiv an der Gestaltung neuer Angebote und Features mit.

Das gesamte rack::SPEED Team wünscht Ihnen und Ihrer Familie ein frohes Weihnachtsfest und einen guten Rutsch ins Jahr 2011!
Auch für die angenehme und gute Zusammenarbeit in diesem Jahr bedanken wir uns bei Ihnen.

Gleichzeitig möchten wir Sie darüber informieren, das wir während der Feiertage nur eingeschränkten Support leisten können. Montag (27.12.) bis Donnerstag (30.12.) erreichen Sie uns wie gewohnt von 08:00 bis 20:00 Uhr. – Im Notfall erreichen Sie uns an den Feiertagen unter support@rackspeed.de und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz) – Bitte hinterlassen Sie Anliegen und Telefonnummer.

Ihr rack::SPEED Team


Sicherheits-Update: TYPO3 Version 4.4.5

Das gestern veröffentlichte TYPO3 Update behebt mehrere Sicherheitslücken die von den Entwicklern als hoch eingestuft werden.

Bei den Sicherheitslücken handelt es sich um: Arbitrary Code Execution, Cross-Site Scripting (XSS), Information Disclosure, Path Traversal und SQL-Injection. Die Entwickler raten das bereitgestellte Update kurzfristig einzuspielen!

Weitere Infos befinden sich im TYPO3 Security Bulletin TYPO3-SA-2010-022.


Exim security update (CVE-2010-4345)

Aufgrund eines kritischen Fehlers (Buffer Overflow) im Mail Transfer Agent (MTA) Exim ist es möglich beliebigen Schadcode auf einem nicht gepatchten Server auszuführen. Die Patches zur Behebung der Sicherheitslücke wurden soeben auf sämtlichen Kunden-Servern installiert um unsere Infrastruktur gegen eventuelle Angriffe zu schützen.

Kunden die unsere Cloud-Server Angebote nutzen müssen sich um nichts weiter kümmern, die Sicherheitspatches wurden im Rahmen der Managed-Services bereits eingespielt.

Weiterführende Links:
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
http://bugs.exim.org/show_bug.cgi?id=1044
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4345


Update: Magento 1.4.2.0 erschienen!

Zusammen mit dem gestern veröffentlichten Magento Release der Version 1.4.2.0 hielt eine neue Extensions Einzug in den Magento-Core. Hierbei handelt es sich u.a. um die „Such-Extension“ TheFind, die das Shopsystem mit der gleichnamigen Einkaufsplattform verbindet. In wie weit dies für Deutsche Kunden interessant ist können wir an dieser Stelle noch nicht abschätzen, daher freuen wir uns sehr über entsprechende Kommentare.

Besonders Entwickler werden sich über dieses Release freuen, da neben zahlreichen Bugfixes und der neuen Warenkorb-API ein alt bekannter SOAP-Fehler gefixt wurde: SOAP-ERROR: Parsing Schema: can’t import schema from ‘http://schemas.xmlsoap.org/soap/encoding/’ – Letzteres ist auf das aktualisierte Zend Framework der Version 1.10.8 zurückzuführen.

Ebenfalls neu ist die Möglichkeit sämtliche Vorgänge im Admin-Bereich mit einem Kommentar für den Kunden zu versehen und im Frontend anzeigen zu lassen, dies funktioniert u.a. beim Versandstatus und der Rechnungsstellung.

Entgegen vieler Gerüchte ist der neue Magento Connect Manager noch nicht im aktuellen Release enthalten, da eine solch große Veränderung eher etwas für Magento 1.5 anstatt dieses Minor-Releases ist.

Laut Release-Notes wurden diverse Bugs behoben! – Die Änderungen stehen wie gewohnt auch als Diff-File zum Download bereit!

ACHTUNG: Wie immer sollte vor dem Update ein Backup erstellt und das Compiler-Modul deaktiviert werden!


Support an Christi Himmelfahrt!

Wir möchten Sie darauf hinweisen, dass wir am 13.05.2010 zum gesetzlichen Feiertag „Christi Himmelfahrt“ nur eingeschränkten Support leisten können.

Im Notfall erreichen Sie uns wie gewohnt über das Support Ticket-System und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€  / Min. aus dem deutschen Festnetz) – Bitte hinterlassen Sie Anliegen und Telefonnummer.

Am Freitag den 14.05.2010 stehen wir Ihnen wieder wie gewohnt zur Verfügung.

Wir wünschen Ihnen einen erholsamen Feiertag!


Denic: DNS-Problem legt deutsches Web lahm

„Aktuell gibt es massive Probleme mit .de-Domains. Die Ursache ist offenbar ein schwerwiegender Fehler bei der Denic, wo die deutschen Adressen verwaltet werden.

Webseiten mit einer .de-Domain sind zu einem großen Teil seit etwa 13:40 Uhr nicht erreichbar. Die Auflösung der Adressen funktioniert vorerst nur, wenn der genutzte DNS-Server die jeweiligen Einträge noch im Cache vorhält. Bisher gibt es keine Informationen, wann das Problem voraussichtlich behoben sein wird.“

Den ganzen Artikel finden Sie unter: http://winfuture.de/news,55380.html

Eine erste Stellungnahme der DENIC finden Sie unter: http://www.denic.de/de/denic-im-dialog/news/2731.html?cHash=1e3aa7af03