RSS Feed
Letzte Änderungen
Jan
20

Eine Erweiterung für die Backbone-Anbindung zu unserem Rechenzentrum, macht den Wechsel eines Access-Routers erforderlich. In Abstimmung mit dem Rechenzentrum haben wir daher die Wechselmaßnahmen für den 21.1.2017 ab 0:00 Uhr (Nacht von Freitag auf Samstag) vorgesehen.

Damit der Wechsel des Access-Router erfolgreich vollzogen werden kann, müssen die Routingtabellen auf den einzelnen Servern korrigiert werden. Wir gehen daher von einer Downtime von ca. 5-15 Minuten je Server aus.


Details anzeigen »



Oct
13
Wichtiges Magento Sicherheitsupdate - SUPEE 8788
Veröffentlicht von Boris Hinzer am 13.10.2016 16:29

Wir sind von Magento über das als KRITISCH eingestufte Sicherheitsupdate SUPEE-8788 informiert worden, welches die folgenden Sicherheitslücken in Magento schließt:

APPSEC-1484 - Remote Code Execution in checkout
Durch den Einsatz von bestimmten Zahlungsmethoden ist es möglich schadhaften PHP Code im Kassenprozess auszuführen.

APPSEC-1480 - SQL injection in Zend Framework
Ein Fehler im Rahmen der Validierung von Werten, im vom Magento genutzten Zend Framework, ermöglicht es arglistigen Benutzern SQL in die Datenbank einzuschleusen. Aktuell sind für diese Sicherheitslücke keine Angriffsflächen im Magento Frontend, dafür jedoch im Magento Shop Backend (Verwaltung), bekannt.

APPSEC-1488 - Stored XSS in invitations
Die Einladefunktion in Magento Enterprise Editionen ermöglicht die Einschläusung von schadhaftem JavaScript Code, der im Admin Kontext ausgeführt werden konnte.

APPSEC-1247 - Block cache exploit
Ein Angreifer mit Rechten für die Bearbeitung von Magento CMS-Funktionen, kann auf Informationen aus den Magento Caches zugreifen. Somit können sensible Daten wie die Shop Konfiguration, den Schlüssel für die Verschlüsselung und Datenbank-Verbindungen ausgelesen werden. Darüber hinaus ist es möglich Code auszuführen.

APPSEC-1517 - Log in as another customer
In bestimmten Konfigurationen ist es möglich sich als ein bestehender Benutzer nur auf Basis seiner Emailadresse einzuloggen, ohne das Passwort des Nutzers zu kennen.

APPSEC-1375 - Remote Code Execution in admin
Die Import / Export Funktion von Magento verarbeitet gelieferte Daten aus dem Admin Panel, ohne diese vorab zu prüfen. Dies ermöglicht die Einschleusung und Ausführung von Code, sobald der User Import/Export Rechte hat.

APPSEC-1338 - Full Page Cache poisoning
In der Magento Enterprise Edition ist es möglich dem Full Page Cache inkorrekte Seiten zu übergeben und diese über reguläre URLs aufzurufen.

APPSEC-1436 - XSS vulnerability in URL processing
User Daten die über die URL Verarbeitung an Magento weitergeleitet werden können Cross-Site-Scripting ermöglichen.

APPSEC-1211 - XSS in categories management
Es ist mögliche eine böswillige Kategorie anzulegen, die entsprechend böswilligen JavaScript Code im Kategorienamen enthält. Dieser Code kann dann ausgeführt werden, sobald die URL aufgerufen wird. Um diese Lücke auszunutzen, bedarf es eines Backend Benutzers, der Rechte zur Kategoriebearbeitung hat.

APPSEC-1058 - GIF flooding
Ein böswilliger User kann eine modifizierte Bilddatei hochladen, die dann ein Script Timeout erzeugt, welche letztendlich in einer Denial of Service Attacke mündet. Diese Sicherheitslücke betrifft Shops die es Besuchern im Shop ermöglicht Bilder hochzuladen, als auch diese über das Admin Panel einzustellen.

APPSEC-666 - Cross-site scripting in Flash file uploader
Der Flash Uploader, der u.a. für den Bildupload im Magento Backend genutzt wird, ermöglicht Cross-Site-Scripting sobald dieser auch für eigene Optionen genutzt wird.

APPSEC-1282: Filter avoidance
Die Implementation von Cross-Site-Scripting Filtern in Email-Templates, als auch bei anderen Admin-Funktionen erscheint nicht ausreichend, um speziell angefertigte Angriffszenarien abzuwehren.

APPSEC-327 - CSRF in several forms
Eine ungenügende Form Key Validierung ermöglicht die Durchführung von Cross-site Request Forgery über Magento Formulare. So konnte beispielsweise ein Phishing Formular erzeugt werden, dass sobald es vom User genutzt wird, Aktionen wie eine Änderung des Warenkorbs oder einen Login durchführt. Hinweis: Diese Sicherheitslücke betrifft nur Magento Versionen bis 1.8.1.

APPSEC-1189 - CSRF on removing item from Wishlist or Address Book
Sobald eine Phishing Page erzeugt wurde, konnte die Kundenadresse oder seine Wunschliste gelöscht werden.

APPSEC-1478: Session does not expire on logout
Benutzer Sessions verfallen nicht nach dem Logout. Damit ist es möglich die Session Cookies des Kunden zu stehlen und damit Zugriff auf das Kundenkonto zu nehmen. Diese Sicherheitslücke ist primär dann gefährlich wenn mehrere User den selben Computer verwenden.

APPSEC-1106 - Lack of certificate validation enables MitM attacks
Eine nicht ausreichende Prüfung im Rahmen Zertifikats-Validierungen, ermöglicht eine Man-In-The-Middle Attacke, im Rahmen dieser Abfragen. Dies kann zu ungewünschtem Datenverlust von Kundeninformationen führen. Das Risko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

APPSEC-995 - Timing attack on hash checking
Es ist theoretisch möglich eine Timing Attacke auf die Funktion für die Passwortprüfung durchzuführen. Das Risiko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

Für Kunden des web-vision managed Hosting für Magento Shops, wurden die entsprechenden Patches sowohl auf den Produktiv- als auch den Staging-Systemen eingespielt und versioniert. Separate Informationen wurden an die Shopbetreiber versendet.

Weitere Informationen zu den in den Patches enthaltenen Updates erhalten Sie (in Englisch) hier:

https://magento.com/security/patches/supee-8788

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.


Details anzeigen »



Mar
8
PayPal Umstellung erfordert Migration von Servern
Veröffentlicht von Boris Hinzer am 08.03.2016 11:19

Wir sind von PayPal informiert worden, dass ab dem 17.6.2016 dort Daten nur noch mit dem Protokoll TLS 1.2 angenommen werden (z.B. ein Shop sendet an PayPal Zahlungsinformationen). Zum gleichen Termin möchte PayPal auch für den umgekehrten Weg (z.B. PayPal sendet eine Rückmeldung an den Shop das die Zahlung akzeptiert wurde) ein SSL Zertifikat haben, welches mit dem Codier Algorithmus SHA-256 erstellt wurde.

Ältere Server die noch Betriebssystems "Red Hat Enterprise Linux 5" im Einsatz haben, unterstützen jedoch das von PayPal erforderliche TLS 1.2 Protokoll nicht. Es ist daher eine vollständige Migration sämtlicher Dienste und Websites auf eine aktuellere Red Hat Enterprise Linux Version 6 oder 7 erforderlich.

Weitere Informationen zu den erforderlichen Sicherheitsupdates erhalten Sie in Englisch hier: https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1913&expand=true&locale=en_US

Bitte vereinbaren Sie frühzeitig für die Migration Ihres Servers einen Termin mit uns. Sollte mit Ablauf des 17.6.2016 keine Umstellung erfolgt sein, werden Sie PayPal nicht mehr als Zahlungsmittel nutzen können.

Hinweis für Nutzer von Red Hat Enterprise Linux 6 oder 7:

Red Hat 6 oder 7 Systeme können durch die Aktualisierung einzelner Softwarepakete so anpasst werden, dass die Anforderungen von PayPal erfüllt werden können. 

Hinweise für Nutzer von CentOS:

Da das Versionsschema von CentOS analog zu dem jeweiligen Red Hat Enterprise Linux ist, sind von diesen Änderungen ebenfalls CentOS 5 Systeme betroffen.


Details anzeigen »



Aug
5
Magento Sicherheitspatch - SUPEE-6482
Veröffentlicht von Boris Hinzer am 05.08.2015 07:58

Das Magento Security Team hat am 04.08.2015 den Sicherheitspatch SUPEE-6482 veröffentlicht, der unterschiedliche Sicherheitslücken in Magento schließt. Der Patch steht für Magento Community Edition ab Version 1.4 und Magento Enterprise Edition 1.7 zur Verfügung und schließt die nachfolgend aufgeführten Sicherheitslücken. Für ältere Magento Installationen ist der Patch nicht verfügbar. Daher wird dringend dazu geraten auf eine aktuelle Magento Version zu updaten.

Zum aktuellen Zeitpunkt sind keine Ausnutzungen der Sicherheitslücken seitens Magento bekannt. Dennoch wird empfohlen umgehend die betroffenen Magento Instanzen zu patchen.

Geschlossene Sicherheitslücken:

Weitere Infos zum SUPEE-6482 Sicherheitspatch und den geschlossenen Sicherheitslücken finden Sie hier.

Hinweis für web-vision Magento Kunden:

Zum aktuellen Zeitpunkt patchen wir bereits Ihre Magento Instanz. Sie erhalten detaillierte Informationen per Email.


Details anzeigen »



Jul
8
Wichtige Magento Sicherheitsupdates - Update 10.07.2015
Veröffentlicht von Boris Hinzer am 08.07.2015 09:45

Wir wurden aktuell über kritische Magento Sicherheitsupdates informiert. Diese Sicherheitsupdates betreffen alle Magento Community Version ab 1.4.1 bis 1.9.1.1.

Zum aktuellen Zeitpunkt spielen wir diese Sicherheitsupdates in alle von uns betreuten Magento Instanzen ein. Weitere Informationen dazu erfolgen per Email.

Update vom 10.07.2015:

Bei sämtlichen von web-vision betreuten Magento Shops wurden die Sicherheitspatches eingespielt. Detaillierte Informationen wurden per Email versendet.

WICHTIG:

Einige Kunden berichteten nach dem einspielen der Patches von Rechteproblemen beim Zugriff auf einzelne Extensions. Dieser Sachverhalt ist bereits in der Magento Community bekannt und wird von web-vision bereits bearbeitet. Die Ursache hierfür liegt an der Programmierung von Dritt-Extensions, welche separat gepatcht werden müssen. Wir werden hierzu zeitnah einen Knowledgebase Eintrag veröffentlichen und diesen hier verlinken.


Details anzeigen »




web-vision www.web-vision.de/support