Kritische Magento Sicherheitslücke

Shop-Betreiber, die als Shop-Software Magento einsetzen, müssen handeln. Eine schwerwiegende Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Die kritische Lücke wurde vor einigen Tage von der Sicherheitsfirma Check Point entdeckt. Diese hat hierzu in einem ausführlichen Blogeintrag veröffentlicht.

Welche Versionen sind betroffen?

Laut unseren Informationen sind alle Versionen der Community Edition (CE) von Version 1.4.0.0 bis zu Version 1.9.X betroffen. Dennoch sollte auch bei anderen Versionen geprüft werden, ob der Hersteller ein entsprechendes Update veröffentlicht hat.

Wie kann ich feststellen, ob mein Shop betroffen ist?

Magento stellt ein Test-Werkzeug bereit, mit dem man prüfen kann, ob das Sicherheitsupdate eingespielt werden muss. Dieses findet sich unter http://magento.com/security-patch.

Wie kann die Sicherheitslücke geschlossen werden?

Ein Sicherheits-Patch, der die aktuelle Lücke schießt, kann auf der Webseite von Magento heruntergeladen werden. Der Patch wird mit Bezeichnung „SUPEE-5344“ gelistet. Sofern noch nicht geschehen, sollte auch der Patch „SUPEE-1533“ eingespielt werden. Nach dem Einspielen der Patches muss der Cache aktualisiert werden.

Einspielen des Patches über FTP

Die Patch-Dateien können auch per FTP ausgeführt werden. Dazu ist eine PHP-Datei mit folgendem Inhalt im Magento-Ordner anzulegen (genauen Name der Patch-Datei eintragen) und aufzurufen:

<?php
print("<pre>");
passthru("/bin/bash PATCH_SUPEE-5346_CE_[...].sh");
print("</pre>");
?>

Technische Details zu der Lücke werden von den Magento-Entwicklern momentan noch zurückgehalten, um den betroffenen Betreibern Zeit zu geben, ihre Shops abzusichern.