Magento SUPEE-5994 Sicherheitspatch

von Roman Hutterer, 18. Mai 2015

Schon wieder ein Magento Sicherheitspatch , Patch: SUPEE-5994 wurde veröffentlicht

Die Magento Sicherheitspatches kommen gefühlt in letzter Zeit im Tagesrhythmus raus (wie der vergangene SUPEE-5344 und SUPEE-1533). Für die meisten die einen Programmierer im eigenen Haus haben ist dies natürlich optimal, für die Shopinhaber ohne Programmierer ist das ein Alptraum. Klar sind die Patches super und erfüllen Ihren Zweck, jedoch kann nicht jeder mit der Konsole umgehen und somit ist ein Fehler fast schon vorprogrammiert. Der nun kürzlich aufgetauchte SUPEE-5994 Patch stopft mehrere Sicherheitslücken, eine davon ist die Möglichkeit das herunterladen der Kundendaten zu ermöglichen.

Folgende Fehler behebt der Magento Sicherheitspatch SUPEE-5944:

  • Ein Angreifer kann durch den direkten Aufruf eines Moduls die anzeige Admin-Login Seite erzwingen, das verrät die Admin-URL selbst und somit ist es leichter Kennwortangriffen durchzurühren.
  • Angreifer bekommen Zugriff auf Kundendaten indem sie eine Sequenzielle ID von Adressbuch Informationen im Checkoutprozess, oder bei den wiederkehrenden Zahlungsprofilen eingeben.
  • Angreifer bekommen Zugriff auf Kundendaten indem sie eine Sequenzielle ID von Adressbuch Informationen bei den wiederkehrenden Zahlungsprofilen eingeben.
  • Angreifer können fiktive Bild-URL’s verwenden um Ausnahmen und Fehlerbehandlungen am Server zu erzeugen die interne Serverpfade oder Konfigurationen anzeigen.
  • Angreifer können mittels XSS Schadhaften Javascript Code in der Umgebung vom Magento Connect Manager ausführen lassen und somit über kompromittierte Links Sessionklau betreiben womit in weiterer Folge auch die Installation von Erweiterungen möglich ist.
  • Angreifer können Schadhafte Erweiterungen publizieren die Systemdateien am Server überschreiben können.
  • Angreifer können Eingabefelder mit Schadhaftem Code befüllen welcher nach dem Export in Excel ausgeführt wird.
  • Angreifer können JavaScript im Kontext einer Session ausführen, wenn Benutzer auf böswillig veränderte Links klicken ist es möglich die Cookies zu stehlen und somit die Session zu übernehmen sowie die Persönlichen Daten einzusehen oder zu ändern.

In Summe werden diesmal 8 Sicherheitslücken geschlossen, und eigentlich könnte man daraus doch auch gleich eine neue Magento Version 1.9.1.2 machen.