Zend Framework Sicherheitslücke - Patch erforderlich!

      Zend Framework Sicherheitslücke - Patch erforderlich!

      Soeben wurde von Varien in einem Blogbeitrag bekannt gegeben, dass im Zend Framework (XMLRPC-Funktion) welches Magento zu Grunde liegt eine gravierende Sicherheitslücke entdeckt wurde.

      Betroffen sind alle Versionen von 1.4.0.0 bis 1.7.0.1! - Die letzte aktuelle Version 1.7.0.2 ist nicht betroffen.

      Aktuell gibt es 3 Möglichkeiten die Sicherheitslücke zu schließen:

      1. Schneller Schutz: mod_rewrite Regel setzen
      2. Offizieller Varien Patch
      3. Update auf die aktuelle Magento-Version 1.7.0.2 (ohne entsprechende Vorbereitung nicht empfohlen!)


      I. Schneller Schutz (Deaktivierung der XMLRPC-Schnittstelle):
      1.) Öffnen der .htaccess Datei
      2.) Einfügen der folgenden Zeilen direkt nach RewriteEngine On
      3.1) Wenn Sie die XMLRPC-Schnittstelle nicht verwenden:

      Quellcode

      1. RewriteCond %{REQUEST_URI} .*api/xmlrpc.* [NC]
      2. RewriteRule (.*) - [F]

      3.2) Freigabe einzelner IPs zur Schnittstelle (IHRE_API_IP muss dabei entsprechend ersetzt werden):

      Quellcode

      1. RewriteCond %{REMOTE_ADDR} !IHRE_API_IP
      2. RewriteCond %{REQUEST_URI} .*api/xmlrpc.* [NC]
      3. RewriteRule (.*) - [F]


      II. Offizieller Varien Patch (Bereits gepatchte Dateien im Kundencenter)
      1.) Download anhand der installierten Magento-Version auswählen.
      2.) Sicherungskopien der beiden Dateien erstellen.
      3.) Dateien mit denen aus dem Archiv überschreiben.

      II. Offizieller Varien Patch (für externe Magento-User)
      magentocommerce.com/downloads/…/CE_1.4.0.0-1.4.1.1.patch
      magentocommerce.com/downloads/…/1.7.0.2/CE_1.4.2.0.patch
      magentocommerce.com/downloads/…/CE_1.5.0.0-1.7.0.1.patch

      Quellcode

      1. cd lib/Zend/XmlRpc/
      2. wget PATCHDATEI SIEHE OBEN
      3. patch < PATCHDATEI


      Es sollte dann folgendes ausgegeben werden:

      Quellcode

      1. patching file Response.php
      2. patching file Request.php


      III. Update auf die aktuelle Magento-Version 1.7.0.2
      Von einem Update eines Produktivshops auf die aktuelle Version 1.7.0.2 ohne Vorbereitungszeit raten wir DRINGEND ab!
      Magento Hosting | Cloud Server | Shopware Hosting | Elasticsearch Hosting
      Unsere Hosting-Lösungen nutzen ultraschnelle SSDs und sind jederzeit skalierbar.