Sechs Lücken schließt ein Update im Online-Shop-CMS Magento, wovon zwei der Lücken kritisch sind und eine davon mit einem CVSS-Score von 9.8 als äußerst bedrohlich bezeichnet werden kann. Beliebigen Schadcode können dort Angreifer über eine API ausführen. Das Installations-Verzeichnis ist von der anderen kritischen Lücke betroffen. Nach der Installation enthält es noch ausführbare Dateien. Angreifer können auch hier den Online-Shop komplett übernehmen.

Angreifer können über standardmäßig vielen Installationen aktivierte REST- und SOAP-APIs bei der Lücke APPSEC-1420 beliebigen PHP-Code aus der Ferne ausführen, ohne sich dafür ausweisen zu müssen. Die Magento-Entwickler sagen nicht, welche Versionen der Software genau betroffen sind. Aber sie empfehlen allen Nutzern des 2.x-Zweiges direkt auf die neue Version 2.0.6 umzusteigen.

Eine von den Entwicklern bereitgestellte Informations-Seite zu den Patches beschreibt, wie das Einspielen des Updates bei den unterschiedlichen Magento-Ausgaben vorgenommen werden kann. Mit dem Update werden neben den zwei kritischen Lücken noch vier Bugs entfernt, von denen jeweils zwei mit den Prioritäten "Hoch" und "Medium" versehen sind.

Immer wieder hat Magento mit kritischen Lücken zu kämpfen. Für Admins sollte das Patchen dieser Installationen höchste Priorität haben, da es in der Natur eines Online-Shops liegt, dass dort wichtige private Informationen der Kunden gespeichert sind.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE