Wie gestern im Magento Blog belannt gemacht, gibt es im Zend Framework eine Sicherheitslücke. Für verschiedene Versionen gibt es verschiedenen Patches:
- Community Edition 1.4.0.0 bis 1.4.1.1
- Community Edition 1.4.2.0
- Community Edition 1.5.0.0 bis 1.7.0.1
Die Magento Enterprise und Professional Edition bieten den Patch-Download im jeweiligen Mitlgieder-Login an um die Sicherheitslücke für diese Editionen zu schließen.
Wichtiger Hinweis: der Patch funktioniert erst ab PHP 5.2.11. Davor gibt es diese Funktion nicht!
Wer nicht genau weiß, wie man die Dateien patched, kann sich bereits gepatchte Dateien auf dem Blog von Sonassi runterladen.
Die Sicherheitslücke
Die Sicherheitslücke erlaubt einem Angreifer möglicherweise beliebige Dateien auf dem Web-Server, wo die Zend XMLRPC-Funktion aktiviert ist zu lesen. Dies könnten Passwort-Dateien, Konfigurationsdateien, und möglicherweise sogar Datenbanken sein, wenn sie auf der gleichen Maschine wie der Magento Web-Server gespeichert werden.
Die Lösung
Installieren Sie sofort den oben verlinkten Patch, un die Sicherheitslücke zu beheben. Sollte eine sofortige Installation nicht möglich sein, muss zumindest die RPC-Funktionalität vorübergehend deaktiviert werden, die die Schwachstelle enthält. Alle Funktionen die mit der XMLRPC API-Funktionalität arbeiten werden nach dem Deaktivieren nicht mehr funktionieren.
Deaktivierung der Schwachstelle
- Im Magento Webserver in / app / code / core / Mage / api / Controller navigieren.
- Öffnen Sie XmlrpcController.php zur Bearbeitung, z.B. mit Webocton-Scriptly.
- Kommentieren sie den Abschnitt der folgenden Methode aus: public indexAction ()
- Speichern Sie die Änderungen.
Weitere Informationen finden Sie ebenfalls auf Magelounge und bei den Webguys.
UPDATE: Einen Patch der alle Versionen automatisch patched wurde auf GitHub veröffentlicht: https://gist.github.com/3059575
Ich interessiere mich für eCommerce-Themen, vor allem im Zusammenhang mit dem Shopsystem Magento Commerce sowie alles rund um Web-Entwicklung und den damit verbundenen Möglichkeiten.
Pingback: Magento-Shops durch Zend-Lücke immer noch angreifbar | Mag-tutorials.de