Magento Security-Patch SUPEE-7405

Magento Security-Patch SUPEE-7405

von Roman Hutterer, 11. Februar 2016
Am 20. Jänner 2016 wurde der Magento Security Patch SUPEE-7405 veröffentlicht.
Dieser behebt 20 potentielle Schwachstellen, im schlimmsten Fall kann ein Angreifer die Session eines eingeloggten Administrators übernehmen und hat somit dieKontrolle über den Shop.

Die wichtigsten Änderungen sind folgende:

  • Eingabefelder wurden angepasst damit ein Angreifer sich nicht mehr unter gewissen Umständen als Administrator einloggen kann
  • Die Möglichkeit Schadsoftware in Bildern zu verstecken wird nun verhindert
  • Mehr Sicherheit für den Shopbetreiber da es erschwert wurde durch Phishingattacken den Shop zu übernehmen
  • Ein verbesserter Schutz für die Produktbewertungen wurde eingeführt Besserer Schutz vor Attacken die in die Email-Adresse eingeschleust sind
  • Ein Fehler wurde behoben der dazu führte, dass fremde Personen ihre Produkte im Warenkorb löschen konnten

Folgende Sicherheitslücken wurden dabei behoben:

  • APPSEC-1213 XSS in der E-Mail Adresse
    Ein Angreifer konnte in der E-Mail Adresse JavaSript einschleusen, aufgrund zu schwacher validierung im AdminBereich bestand die Möglichkeit die Session des Administrators zu übernehmen
  • APPSEC-1239 XSS in Bestell – Kommentaren
    Ebenfalls ein fehlerhaftes Verhalten bei dem der Angreifer wieder mittels JavaScript die Session des Admins übernehmen konnte.
  • APPSEC-1260 XSS in der Bestellung selbst
    In manchen Fällen benutzt Magento den HTTP Header HTTP_X_FORWARDED_FOR als IP-Adresse des Kunden, wenn diese nun verfälscht wird und ungefiltert im Admin-Bereich ausgegeben wird, besteht die Möglichkeit die Session des Admins zu übernehmen.

Der Magento Patch SUPEE-7405 kann hier heruntergeladen werden, detaillierte Informationen zu den Sicherheitslücken gibt es im Magento Security Center.

Vorgehensweise

Unsere Kunden haben wir bereits informiert und ihnen Vorschläge bzw. Details zum Einspielen des Sicherheitsupdates übermittelt.

Wichtig ist anzumerken, dass der Patch nicht kompatibel mit PHP Versionen < 5.4 ist.
Zum selben Zeitpunkt hat Magento auch die folgenden neuen Magento Versionen veröffentlicht:

  • Magento CE 1.9.2.3
  • Magento EE 1.14.2.3
  • Magento CE & EE 2.0.1