Kritische Magento Sicherheitslücke – Patch (SUPEE-5344) erforderlich!

Fast still und heimlich hat das Magento Team am 09.02.2015 einen Patch für fast alle Magento Versionen veröffentlicht. Im Netz und per Google lassen sich kaum Infos zum Patch finden daher reichen wir diesen Beitrag erst jetzt nach.

Im Magento Core wurde eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz zu erhalten bzw. Dateien auf dem Server zu speichern. Diese Dateien können später für weitere Angriffe auf externe Ziele oder als Backdoor zum Shop verwendet werden.

Betroffen sind die Magento Versionen CE 1.6 bis CE 1.9 sowie EE 1.11 bis EE 1.14. Auch die aktuellen Versionen CE 1.9.1.0 und EE 1.14.1.0 sind betroffen!

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. rm var/cache/* -rf

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt. Die zu editierenden Dateinamen befinden sich über den geänderten Zeilen.
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden mit einem SSD Business Hosting oder CloudServer können die Updates jederzeit wie oben beschrieben per SSH einspielen, SSD StartUp und Kunden älterer Tarife können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen. – Für das Einspielen des Patches berechnen wir eine einmalige Servicegebühr.


Exim security update (CVE-2010-4345)

Aufgrund eines kritischen Fehlers (Buffer Overflow) im Mail Transfer Agent (MTA) Exim ist es möglich beliebigen Schadcode auf einem nicht gepatchten Server auszuführen. Die Patches zur Behebung der Sicherheitslücke wurden soeben auf sämtlichen Kunden-Servern installiert um unsere Infrastruktur gegen eventuelle Angriffe zu schützen.

Kunden die unsere Cloud-Server Angebote nutzen müssen sich um nichts weiter kümmern, die Sicherheitspatches wurden im Rahmen der Managed-Services bereits eingespielt.

Weiterführende Links:
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
http://bugs.exim.org/show_bug.cgi?id=1044
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4345


Update: Magento 1.2.1.2 erschienen!

Bei diesem Mini-Update handelt es sich um Sicherheitsupdate, welches kurzfristig eingespielt werden sollte!

Die Veränderungen beschränken sich auf den Admin-Login und den MagentoConnect Manager. – Da das Update sowohl die .htaccess als auch die index.php Datei überschreibt, sollten diese vor dem Update gesichert und die Änderungen nach dem Update in die neuen Dateien übertragen werden.

Wie immer gilt: Vor dem Update ein Backup erstellen!!!


Sicherheits-Update: TYPO3 Version 4.2.4

Das gestern veröffentlichte TYPO3 Update behebt mehrere Sicherheitslücken die von den Entwicklern als hoch eingestuft werden.

Betroffen von den Sicherheitslücken sind das Install-Tool, die Authentifizierungs-Bibliothek, die Indexed Search-Extension, die Erweiterung ADOdb und das Workspace-Modul. Die Entwickler raten das bereitgestellte Update kurzfristig einzuspielen!

Weitere Infos befinden sich im TYPO3 Security Bulletin TYPO3-SA-2009-001


Sicherheitsupdate: WordPress Version 2.6.3

Heute wurde ein weiteres WordPress Update mit der Version 2.6.3 veröffentlicht.

Wir raten allen Kunden dieses Update kurzfristig einzuspielen, da vorherige Versionen ein Problem mit der Benutzerregistrierung haben. Unter bestimmten Umständen ist es einem Angreifer möglich das Passwort für einen bereits bestehenden Benutzer zurücksetzen.


Sicherheitsupdate: WordPress Version 2.6.2

Heute wurde ein weiteres WordPress Update mit der Version 2.6.2 veröffentlicht.

Wir raten allen Kunden dieses Update kurzfristig einzuspielen, da vorherige Versionen ein Problem mit der Benutzerregistrierung haben. Unter bestimmten Umständen ist es einem Angreifer möglich das Passwort für einen bereits bestehenden Benutzer zurücksetzen.


Magento Update – so wird gemacht!

Aktualisierte Version im Forum! – Magento Update

Durch das gestrige Sicherheitsupdate kam es heute zu zahlreichen Nachfragen in Form von „Wie aktualisiere ich meinen Magento Shop?“ – Daher stellen wir heute allen Kunden und Magento-Shop-Betreibern einen 5 Punkte Plan zur Verfügung:

Backup erstellen!!!

  1. Ins Backend einloggen, dann auf folgende Menüpunkte klicken: SYSTEM => MAGENTO CONNECT => MAGENTO CONNECT MANAGER.
  2. Login in den Manager.
  3. Auf den orangen Button „Check for Upgrades“ klicken.
  4. In den Dropdowns die neuen Versionen auswählen.
  5. Auf den organgen Button „Commit Changes“ klicken.

Jetzt werden die Updates vom Magentoserver geladen und installiert. Über den aktuellen Status wird der Benutzer der schwarzen Textbox informiert.

Kennen Sie bereits unser High-Performance Magento Hosting?


Sicherheitsupdate: Magento Version 1.1.4

Die neue Magento Version behebt zwei kritische Sicherheitslücken, daher wird vom Varien Team ein Update dringend empfohlen. Was genau gefixt wurde wollten die Entwickler noch nicht preisgeben.

Wie immer gilt: Ein Backup erstellen oder das Update vorher in einer Testumgebung ausprobieren.

Gleichzeitig kündigten die Entwickler die neue Version 1.1.5 zum Ende des Monats an, diese soll zahlreiche Bugfixes enthalten. Wann das Update erscheinen wird und welche Fixes enthalren sind, wird noch bekanntgegeben.