Der Magento Patch SUPEE–7405 umfasst mehrere Patches für die Magento Versionen 1.x, der mehrere sicherheitsrelevante Probleme löst. Die Einzelheiten über die Schwachstellen die dieser Patch behebt, sind unten aufgelistet. Wer bereits die Magento CE Version 1.9.2.3 benutzt, benötigt diesen Patch nicht.
Wie hier und in vielen anderen Blogs und Nachrichtenprotalen zu lesen war ist Magento von einem remote code execution exploit betroffen. Allerdings sind bis heute immer noch 73.392 Magento Shops von dieser Sicherheitslücke bedroht.
Bereits am 09. Februar 2015 hat das Magento Team einen Patch bereit gestellt, um eine Sicherheitslücke im Magento Core zu schliessen. Viele Blogs und Webseiten sind erst vor Kurzem darauf aufmerksam geworden. Detaillierte Infos zum Patch sucht man allerdings vergebens. Wir berichteten bereits darüber: „Magento warnt vor remote code execution exploit„, möchten aber jetzt nochmal ein Update geben.
Mehr lesen
Für die Magento-Versionen 1.4, 1.6 und 1.7 wurde am 11. Dezember von Magento ein Sicherheitsupdate veröffentlicht. Der Fehler korrigiert einen Bug über den, mittels angepasster Anfrage, beliebige Dateien über den WYSIWYG-Controller gelesen werden können. Der Fehler ist als kritisch einzustufen, sodass der Patch unbedingt eingespielt werden muss.
Wie beriets am 6. Juni im Artikel „Wichtiges Sicherheitsupdate der Zend Plattform“ beschrieben, gab gibt es im Zend-Framework, auf dem Magento aufsetzt eine Sicherheitslücke.
Die Sicherheitslücke erlaubt einem Angreifer möglicherweise beliebige Dateien auf dem Web-Server, wo die Zend XMLRPC-Funktion aktiviert ist zu lesen. Dies könnten Passwort-Dateien, Konfigurationsdateien, und möglicherweise sogar Datenbanken sein, wenn sie auf der gleichen Maschine wie der Magento Web-Server gespeichert werden.
Wie gestern im Magento Blog belannt gemacht, gibt es im Zend Framework eine Sicherheitslücke. Für verschiedene Versionen gibt es verschiedenen Patches:
Die Magento Enterprise und Professional Edition bieten den Patch-Download im jeweiligen Mitlgieder-Login an um die Sicherheitslücke für diese Editionen zu schließen.
Wichtiger Hinweis: der Patch funktioniert erst ab PHP 5.2.11. Davor gibt es diese Funktion nicht!
Wer nicht genau weiß, wie man die Dateien patched, kann sich bereits gepatchte Dateien auf dem Blog von Sonassi runterladen.
Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.