Am heutigen Dienstag hat Magento eine neue Version für Magento 1 veröffentlicht und damit weitere Sicherheitslücken geschlossen. Das Update bzw. der Patch wird allen Magento 1-Nutzern empfohlen unabhängig davon, ob der kostenfreie Magento Open Source oder der kostenpflichtige Magento Commerce-Shop verwendet wird.
Mit dem Patch werden mehrere Lücken im Bereich Cross-Site Request Forgery (CSRF), Denial-of-Service (DoS) und Remote Code Execution (RCE) mit Administrator-Rechten geschlossen. Das betrifft insbesondere die folgenden Bugs:
- Ein Besucher kann einen Account anlegen und dabei einen Parameter mitsenden, der einen Totalausfall des Servers verursacht (Denial-of-Service).
- Ein Administrator kann Scripte in die Produktbeschreibung und Produktkurzbeschreibung einfügen, die für einen Cross-Site-Scripting-Attacke auf die Seitenbesucher genutzt werden kann.
- Ein Administrator kann eine Cross-Site-Scripting-Attacke über das Visual Merchandiser System verursachen.
- Ein Administrator kann über Promo-Felder eine Remote-Code-Execution auslösen.
- Ein Problem mit der SOAP V1 WSDL, dass wenige Kunden betrifft.
- Ein Administrator kann über eine fehlerhafte Konfiguration eine Remote-Code-Execution auslösen.
- Ein Administrator kann eine Seite über das Content-Management-System (CMS) anlegen, die eine Cross-Site-Scripting-Attacke enthält.
- Ein Administrator kann eine Seite über das Content-Management-System (CMS) anlegen, die von Magento falsch verarbeitet wird und zu einem Remote-Code-Execution-Problem führen kann.
- Ein Administrator kann Rechnungsvereinbarungen anlegen, über die eine Cross-Site-Scripting-Attacke möglich ist.
- Ein Administrator kann beim Einfügen eines Widgets ein Remote-Code-Execution-Problem verursachen.
Hier finden Sie die weitere Informationen und die Downloads direkt bei Magento:
- Magento 1 Update 1.9.3.7: Download
- Magento Patch SUPEE-10415: Download
- Informationen zur neuen Version: Release Notes
Wie immer werden managedhosting.de GmbH-Kunden mit entsprechendem Servicevertrag automatisch über den anstehenden Update-Termin informiert. Sie haben noch keinen Servicevertrag und suchen einen Partner, der proaktiv alle notwendigen Security-Patches für Ihren Magento-Shop durchführt? Wenden Sie sich an uns, um ein individuelles Angebot zu erhalten …