RSS Feed
Letzte Änderungen
Sep
25
Wichtiges Magento Sicherheitsupdate - SUPEE-10266
Veröffentlicht von Boris Hinzer am 25.09.2017 10:37

Guten Tag,

wir sind von Magento über das als KRITISCH eingestufte Sicherheitsupdate SUPEE-10266 informiert worden, welches die folgenden Sicherheitslücken in Magento schließt:

--- SNIPPET ---
APPSEC-1838: RSS session admin cookie can be used to gain Magento administrator privileges
Ein Angreifer kann einen RSS Session Cookie dazu benutzen, um die Zugriffsrechte anzuheben und so Zugriff zum Magento Admin Bereich zu erhalten.

APPSEC-1800: Remote Code Execution vulnerability in CMS and layouts
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann bei der Erstellung einer neuen CMS Seite bösartigen Code hinzufügen, der dann ausgeführt werden kann.

APPSEC-1835: Exposure of Magento secret key from app/etc/local.xml
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann Inhalte erstellen, die auf sensible Teilbereiche der Magento Konfiguration zurückgreifen und veröffentlichen, um so weitere Zugriffe zum System zu erhalten. Konkret kann auf den Magento Secret Key, welche in der app/etc/local.xml Datei steht, zugegriffen werden.

APPSEC-1757: Directory traversal in template configuration
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann die Magento Systemhinweise (Notifications) dazu missbrauchen, um weiteren Code einzubetten.

APPSEC-1852: CSRF + Stored Cross Site Scripting (customer group)
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann eine Lücke innerhalb der Magento Kundengruppen dazu nutzen um eine URL zu erzeugen, welche dann als Teil einer CSRF (Cross-Site-Request-Forgery = Website-übergreifende Anfragenfälschung) fungiert.

APPSEC-1494: AdminNotification Stored XSS
Ein Angreifer mit der Fähigkeit, eine Man-in-the-Middle-Attacke auf eine Netzwerkverbindung zu starten, könnte Code in den Magento Admin RSS-Feed einfügen.

APPSEC-1793: Potential file uploads solely protected by .htaccess
Ein Angreifer kann auf Nicht-Apache (Webserver) Installationen (z. B. Nginx) ausführbare Skripte hochladen, welche dazu genutzt werden können um weitere Sicherheitslücken zu schaffen.

APPSEC-1853: CSRF + Stored Cross Site Scripting in newsletter template
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann eine Lücke innerhalb der Magento Newslettertemplates dazu nutzen um eine URL zu erzeugen, welche dann als Teil einer CSRF (Cross-Site-Request-Forgery = Website-übergreifende Anfragenfälschung) fungiert.

APPSEC-1729: XSS in admin order view using order status label in Magento
Ein Administrator kann Code in Kundenauftrage einschleusen, was zu einem XSS-Angriff (XSS = Cross-Site-Scripting, Webseitenübergreifendes Skripting) auf jedermann führen kann, der die Seite betrachtet.

APPSEC-1579: Customer Segment Delete Action uses GET instead of POST request
Ein Magento-Administrator kann böswillige Aktionen durch eine unzureichende Sicherheitsprüfung des Formularschlüssels auf der Kundensegmentseite durchführen.

APPSEC-1588: Order Item Custom Option Disclosure
Ein Angreifer kann eine URL-Anfrage auf einer Magento-Site während des Kassenprozess erstellen und so Informationen über vergangene Bestellungen abrufen.

APPSEC-1599: Admin login does not handle autocomplete feature correctly
Mehrere Felder im Admin-Panel behandeln nicht automatisch die Autovervollständigung der Browser. Dies könntet zu einem potenziellen Informationsleck führen, wenn ein Browser versucht, das Feld automatisch zu vervollständigen.

APPSEC-1688: Secure cookie check to prevent MITM not expiring user sessions
Magento überprüft Session-Cookies nicht ordnungsgemäß oder lässt diese ablaufen. Dies kann einem Besucher ermöglichen, abgelaufene Cookies zu verwenden, um so mit dem Shop zu interagieren.
--- SNIPPET --

Für Kunden des web-vision managed Hosting für Magento Shops, wurden die entsprechenden Patches sowohl auf den Produktiv- als auch den Staging-Systemen eingespielt und versioniert. Separate Informationen wurden an die Shopbetreiber versendet.

Weitere Informationen zu den in den Patches enthaltenen Updates erhalten Sie (in Englisch) hier: https://magento.com/security/patches/supee-10266


Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.


Details anzeigen »



Jan
20

Eine Erweiterung für die Backbone-Anbindung zu unserem Rechenzentrum, macht den Wechsel eines Access-Routers erforderlich. In Abstimmung mit dem Rechenzentrum haben wir daher die Wechselmaßnahmen für den 21.1.2017 ab 0:00 Uhr (Nacht von Freitag auf Samstag) vorgesehen.

Damit der Wechsel des Access-Router erfolgreich vollzogen werden kann, müssen die Routingtabellen auf den einzelnen Servern korrigiert werden. Wir gehen daher von einer Downtime von ca. 5-15 Minuten je Server aus.


Details anzeigen »



Oct
13
Wichtiges Magento Sicherheitsupdate - SUPEE 8788
Veröffentlicht von Boris Hinzer am 13.10.2016 16:29

Wir sind von Magento über das als KRITISCH eingestufte Sicherheitsupdate SUPEE-8788 informiert worden, welches die folgenden Sicherheitslücken in Magento schließt:

APPSEC-1484 - Remote Code Execution in checkout
Durch den Einsatz von bestimmten Zahlungsmethoden ist es möglich schadhaften PHP Code im Kassenprozess auszuführen.

APPSEC-1480 - SQL injection in Zend Framework
Ein Fehler im Rahmen der Validierung von Werten, im vom Magento genutzten Zend Framework, ermöglicht es arglistigen Benutzern SQL in die Datenbank einzuschleusen. Aktuell sind für diese Sicherheitslücke keine Angriffsflächen im Magento Frontend, dafür jedoch im Magento Shop Backend (Verwaltung), bekannt.

APPSEC-1488 - Stored XSS in invitations
Die Einladefunktion in Magento Enterprise Editionen ermöglicht die Einschläusung von schadhaftem JavaScript Code, der im Admin Kontext ausgeführt werden konnte.

APPSEC-1247 - Block cache exploit
Ein Angreifer mit Rechten für die Bearbeitung von Magento CMS-Funktionen, kann auf Informationen aus den Magento Caches zugreifen. Somit können sensible Daten wie die Shop Konfiguration, den Schlüssel für die Verschlüsselung und Datenbank-Verbindungen ausgelesen werden. Darüber hinaus ist es möglich Code auszuführen.

APPSEC-1517 - Log in as another customer
In bestimmten Konfigurationen ist es möglich sich als ein bestehender Benutzer nur auf Basis seiner Emailadresse einzuloggen, ohne das Passwort des Nutzers zu kennen.

APPSEC-1375 - Remote Code Execution in admin
Die Import / Export Funktion von Magento verarbeitet gelieferte Daten aus dem Admin Panel, ohne diese vorab zu prüfen. Dies ermöglicht die Einschleusung und Ausführung von Code, sobald der User Import/Export Rechte hat.

APPSEC-1338 - Full Page Cache poisoning
In der Magento Enterprise Edition ist es möglich dem Full Page Cache inkorrekte Seiten zu übergeben und diese über reguläre URLs aufzurufen.

APPSEC-1436 - XSS vulnerability in URL processing
User Daten die über die URL Verarbeitung an Magento weitergeleitet werden können Cross-Site-Scripting ermöglichen.

APPSEC-1211 - XSS in categories management
Es ist mögliche eine böswillige Kategorie anzulegen, die entsprechend böswilligen JavaScript Code im Kategorienamen enthält. Dieser Code kann dann ausgeführt werden, sobald die URL aufgerufen wird. Um diese Lücke auszunutzen, bedarf es eines Backend Benutzers, der Rechte zur Kategoriebearbeitung hat.

APPSEC-1058 - GIF flooding
Ein böswilliger User kann eine modifizierte Bilddatei hochladen, die dann ein Script Timeout erzeugt, welche letztendlich in einer Denial of Service Attacke mündet. Diese Sicherheitslücke betrifft Shops die es Besuchern im Shop ermöglicht Bilder hochzuladen, als auch diese über das Admin Panel einzustellen.

APPSEC-666 - Cross-site scripting in Flash file uploader
Der Flash Uploader, der u.a. für den Bildupload im Magento Backend genutzt wird, ermöglicht Cross-Site-Scripting sobald dieser auch für eigene Optionen genutzt wird.

APPSEC-1282: Filter avoidance
Die Implementation von Cross-Site-Scripting Filtern in Email-Templates, als auch bei anderen Admin-Funktionen erscheint nicht ausreichend, um speziell angefertigte Angriffszenarien abzuwehren.

APPSEC-327 - CSRF in several forms
Eine ungenügende Form Key Validierung ermöglicht die Durchführung von Cross-site Request Forgery über Magento Formulare. So konnte beispielsweise ein Phishing Formular erzeugt werden, dass sobald es vom User genutzt wird, Aktionen wie eine Änderung des Warenkorbs oder einen Login durchführt. Hinweis: Diese Sicherheitslücke betrifft nur Magento Versionen bis 1.8.1.

APPSEC-1189 - CSRF on removing item from Wishlist or Address Book
Sobald eine Phishing Page erzeugt wurde, konnte die Kundenadresse oder seine Wunschliste gelöscht werden.

APPSEC-1478: Session does not expire on logout
Benutzer Sessions verfallen nicht nach dem Logout. Damit ist es möglich die Session Cookies des Kunden zu stehlen und damit Zugriff auf das Kundenkonto zu nehmen. Diese Sicherheitslücke ist primär dann gefährlich wenn mehrere User den selben Computer verwenden.

APPSEC-1106 - Lack of certificate validation enables MitM attacks
Eine nicht ausreichende Prüfung im Rahmen Zertifikats-Validierungen, ermöglicht eine Man-In-The-Middle Attacke, im Rahmen dieser Abfragen. Dies kann zu ungewünschtem Datenverlust von Kundeninformationen führen. Das Risko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

APPSEC-995 - Timing attack on hash checking
Es ist theoretisch möglich eine Timing Attacke auf die Funktion für die Passwortprüfung durchzuführen. Das Risiko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

Für Kunden des web-vision managed Hosting für Magento Shops, wurden die entsprechenden Patches sowohl auf den Produktiv- als auch den Staging-Systemen eingespielt und versioniert. Separate Informationen wurden an die Shopbetreiber versendet.

Weitere Informationen zu den in den Patches enthaltenen Updates erhalten Sie (in Englisch) hier:

https://magento.com/security/patches/supee-8788

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.


Details anzeigen »



Mar
8
PayPal Umstellung erfordert Migration von Servern
Veröffentlicht von Boris Hinzer am 08.03.2016 11:19

Wir sind von PayPal informiert worden, dass ab dem 17.6.2016 dort Daten nur noch mit dem Protokoll TLS 1.2 angenommen werden (z.B. ein Shop sendet an PayPal Zahlungsinformationen). Zum gleichen Termin möchte PayPal auch für den umgekehrten Weg (z.B. PayPal sendet eine Rückmeldung an den Shop das die Zahlung akzeptiert wurde) ein SSL Zertifikat haben, welches mit dem Codier Algorithmus SHA-256 erstellt wurde.

Ältere Server die noch Betriebssystems "Red Hat Enterprise Linux 5" im Einsatz haben, unterstützen jedoch das von PayPal erforderliche TLS 1.2 Protokoll nicht. Es ist daher eine vollständige Migration sämtlicher Dienste und Websites auf eine aktuellere Red Hat Enterprise Linux Version 6 oder 7 erforderlich.

Weitere Informationen zu den erforderlichen Sicherheitsupdates erhalten Sie in Englisch hier: https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1913&expand=true&locale=en_US

Bitte vereinbaren Sie frühzeitig für die Migration Ihres Servers einen Termin mit uns. Sollte mit Ablauf des 17.6.2016 keine Umstellung erfolgt sein, werden Sie PayPal nicht mehr als Zahlungsmittel nutzen können.

Hinweis für Nutzer von Red Hat Enterprise Linux 6 oder 7:

Red Hat 6 oder 7 Systeme können durch die Aktualisierung einzelner Softwarepakete so anpasst werden, dass die Anforderungen von PayPal erfüllt werden können. 

Hinweise für Nutzer von CentOS:

Da das Versionsschema von CentOS analog zu dem jeweiligen Red Hat Enterprise Linux ist, sind von diesen Änderungen ebenfalls CentOS 5 Systeme betroffen.


Details anzeigen »



Aug
5
Magento Sicherheitspatch - SUPEE-6482
Veröffentlicht von Boris Hinzer am 05.08.2015 07:58

Das Magento Security Team hat am 04.08.2015 den Sicherheitspatch SUPEE-6482 veröffentlicht, der unterschiedliche Sicherheitslücken in Magento schließt. Der Patch steht für Magento Community Edition ab Version 1.4 und Magento Enterprise Edition 1.7 zur Verfügung und schließt die nachfolgend aufgeführten Sicherheitslücken. Für ältere Magento Installationen ist der Patch nicht verfügbar. Daher wird dringend dazu geraten auf eine aktuelle Magento Version zu updaten.

Zum aktuellen Zeitpunkt sind keine Ausnutzungen der Sicherheitslücken seitens Magento bekannt. Dennoch wird empfohlen umgehend die betroffenen Magento Instanzen zu patchen.

Geschlossene Sicherheitslücken:

Weitere Infos zum SUPEE-6482 Sicherheitspatch und den geschlossenen Sicherheitslücken finden Sie hier.

Hinweis für web-vision Magento Kunden:

Zum aktuellen Zeitpunkt patchen wir bereits Ihre Magento Instanz. Sie erhalten detaillierte Informationen per Email.


Details anzeigen »




web-vision www.web-vision.de/support