Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017
Wie die Firma DefenseCode berichtet, gibt es mehrere Sicherheitslücken in der verbreiteten Webshop-Software Magento. Eine dieser Lücken
erlaubt unter anderem Remote Code Execution.
Informationsquelle(n):
Meldung von DefenseCode (PDF, englisch)
http://www.defensecode.com/advisories/DC-2017-04-003_Magento_Arbitrary_File_Upload.pdf
Meldung von Kaspersky (englisch)
https://threatpost.com/high-risk-zero-day-leaves-200000-magento-merchants-vulnerable/124965/
Beschreibung
Angreifer können mit einfachen Mitteln Magento-Installationen dazu bringen, beliebigen Code auszuführen.Da die Methode nun öffentlich bekannt und trivial umzusetzen ist, ist anzunehmen, dass entsprechende Angriffe bald grossflächig stattfinden werden.
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Systeme, auf denen Magento "Community Edition" zumindest in Version 2.1.6 installiert ist. Ob andere Versionen bzw. die kommerzielle "Enterprise Edition" auch betroffen sind, ist momentan noch nicht klar.Abhilfe
Es stehen noch keine Updates zur Verfügung.Als temporäre Massnahmen bietet sich etwa an, in der Konfiguration des Webservers sicherzustellen, dass in dem Verzeichnisbaum, in dem Magento hochgeladene Image-Dateien ablegt, ein Aktivieren von (PHP-) Code-Ausführung nicht durch Einschleusen von
.htacccess-Dateien (wie zB von der Webserver-Software Apache unterstützt) nicht möglich ist.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung von DefenseCode (PDF, englisch)
http://www.defensecode.com/advisories/DC-2017-04-003_Magento_Arbitrary_File_Upload.pdf
Meldung von Kaspersky (englisch)
https://threatpost.com/high-risk-zero-day-leaves-200000-magento-merchants-vulnerable/124965/