Neuer Magento Patch SUPEE-6788 und Malware

Heute wird Magento Inc. einen neuen Sicherheitspatch (SUPEE-6788) veröffentlichen, sowie gepatchte Releases von Magento bereitstellen.

Der Patch schließt über 10 mögliche Sicherheitsfragen in Magento eCommerce, die durch das umfassende Sicherheitsprogramm aufgespürt wurden. Es gibt bisher keine bestätigte Berichte von Angriffen auf diese Schwachstellen. Derzeitig in den Medien heiß-gekochte Berichte über Malware-Angriffe weisen derzeit nicht auf ein neues Sicherheitsproblem hin. In bisherigen Untersuchenen waren die Magento-Versionen nicht aktuell bzw. hatten wichtige Sicherheitspatches nicht eingespielt.

Kunden mit Sicherheits-Abo: Wir werden heute mit dem Patchen beginnen. Die Updates erfordern jedoch ein erweitertes Testen der Magento-Shops, wodurch sich eine Übernahme ins Live-System verzögern wird.

Magento Patch SUPEE-6482 veröffentlicht

Gestern Abend wurde ein neuer Magento Sicherheitspatch veröffentlicht.

Dabei wurden folgende Mängel behoben:

  • XSS mit ungeprüften Headern
  • Automatische Einbindung von Dateien in der Magento SOAP API
  • XSS in der Suche
  • SSRF Anfälligkeit in der WSDL Datei

Wir empfehlen grundsätzlich die Einspielung aller sicherheitsrelevanten Patches.

Neuer Magento Patch SUPEE-6285

Gestern Abend wurde ein neuer Sicherheitspatch für Magento eCommerce veröffentlicht. Dieser Patch adressiert folgende Punkte:

– Der Patch verhindert, dass Angreifer sich als Administrator ausgeben können um Zugriff auf den Feed der letzten Bestellungen zu erhalten. Der Feed enthält persönliche, identifiezierbare Informationen, welche für Folgeangriffe verwendet werden könnten. Prüfen Sie bereits erfolgte Kompromittierung durch Analyse der Log-Dateien des Servers bei Aufrufen der Url /rss/NEW.
– Der Patch schließt eine Reihe von Sicherheitslücken, einschließlich Cross-Site Scripting (XSS), Cross- Site Request Forgery (CSRF) und Offenlegung von Schwachstellen in den Pfadangaben bei Fehlerausgaben.

Wir empfehlen allen, diesen Patch einspielen zu lassen. Kunden mit einem Wartungsvertrag wurden bereits aktualisiert.