RSS Feed
Nachrichten
Oct
13
Wichtiges Magento Sicherheitsupdate - SUPEE 8788
Veröffentlicht von Boris Hinzer am 13.10.2016 16:29

Wir sind von Magento über das als KRITISCH eingestufte Sicherheitsupdate SUPEE-8788 informiert worden, welches die folgenden Sicherheitslücken in Magento schließt:

APPSEC-1484 - Remote Code Execution in checkout
Durch den Einsatz von bestimmten Zahlungsmethoden ist es möglich schadhaften PHP Code im Kassenprozess auszuführen.

APPSEC-1480 - SQL injection in Zend Framework
Ein Fehler im Rahmen der Validierung von Werten, im vom Magento genutzten Zend Framework, ermöglicht es arglistigen Benutzern SQL in die Datenbank einzuschleusen. Aktuell sind für diese Sicherheitslücke keine Angriffsflächen im Magento Frontend, dafür jedoch im Magento Shop Backend (Verwaltung), bekannt.

APPSEC-1488 - Stored XSS in invitations
Die Einladefunktion in Magento Enterprise Editionen ermöglicht die Einschläusung von schadhaftem JavaScript Code, der im Admin Kontext ausgeführt werden konnte.

APPSEC-1247 - Block cache exploit
Ein Angreifer mit Rechten für die Bearbeitung von Magento CMS-Funktionen, kann auf Informationen aus den Magento Caches zugreifen. Somit können sensible Daten wie die Shop Konfiguration, den Schlüssel für die Verschlüsselung und Datenbank-Verbindungen ausgelesen werden. Darüber hinaus ist es möglich Code auszuführen.

APPSEC-1517 - Log in as another customer
In bestimmten Konfigurationen ist es möglich sich als ein bestehender Benutzer nur auf Basis seiner Emailadresse einzuloggen, ohne das Passwort des Nutzers zu kennen.

APPSEC-1375 - Remote Code Execution in admin
Die Import / Export Funktion von Magento verarbeitet gelieferte Daten aus dem Admin Panel, ohne diese vorab zu prüfen. Dies ermöglicht die Einschleusung und Ausführung von Code, sobald der User Import/Export Rechte hat.

APPSEC-1338 - Full Page Cache poisoning
In der Magento Enterprise Edition ist es möglich dem Full Page Cache inkorrekte Seiten zu übergeben und diese über reguläre URLs aufzurufen.

APPSEC-1436 - XSS vulnerability in URL processing
User Daten die über die URL Verarbeitung an Magento weitergeleitet werden können Cross-Site-Scripting ermöglichen.

APPSEC-1211 - XSS in categories management
Es ist mögliche eine böswillige Kategorie anzulegen, die entsprechend böswilligen JavaScript Code im Kategorienamen enthält. Dieser Code kann dann ausgeführt werden, sobald die URL aufgerufen wird. Um diese Lücke auszunutzen, bedarf es eines Backend Benutzers, der Rechte zur Kategoriebearbeitung hat.

APPSEC-1058 - GIF flooding
Ein böswilliger User kann eine modifizierte Bilddatei hochladen, die dann ein Script Timeout erzeugt, welche letztendlich in einer Denial of Service Attacke mündet. Diese Sicherheitslücke betrifft Shops die es Besuchern im Shop ermöglicht Bilder hochzuladen, als auch diese über das Admin Panel einzustellen.

APPSEC-666 - Cross-site scripting in Flash file uploader
Der Flash Uploader, der u.a. für den Bildupload im Magento Backend genutzt wird, ermöglicht Cross-Site-Scripting sobald dieser auch für eigene Optionen genutzt wird.

APPSEC-1282: Filter avoidance
Die Implementation von Cross-Site-Scripting Filtern in Email-Templates, als auch bei anderen Admin-Funktionen erscheint nicht ausreichend, um speziell angefertigte Angriffszenarien abzuwehren.

APPSEC-327 - CSRF in several forms
Eine ungenügende Form Key Validierung ermöglicht die Durchführung von Cross-site Request Forgery über Magento Formulare. So konnte beispielsweise ein Phishing Formular erzeugt werden, dass sobald es vom User genutzt wird, Aktionen wie eine Änderung des Warenkorbs oder einen Login durchführt. Hinweis: Diese Sicherheitslücke betrifft nur Magento Versionen bis 1.8.1.

APPSEC-1189 - CSRF on removing item from Wishlist or Address Book
Sobald eine Phishing Page erzeugt wurde, konnte die Kundenadresse oder seine Wunschliste gelöscht werden.

APPSEC-1478: Session does not expire on logout
Benutzer Sessions verfallen nicht nach dem Logout. Damit ist es möglich die Session Cookies des Kunden zu stehlen und damit Zugriff auf das Kundenkonto zu nehmen. Diese Sicherheitslücke ist primär dann gefährlich wenn mehrere User den selben Computer verwenden.

APPSEC-1106 - Lack of certificate validation enables MitM attacks
Eine nicht ausreichende Prüfung im Rahmen Zertifikats-Validierungen, ermöglicht eine Man-In-The-Middle Attacke, im Rahmen dieser Abfragen. Dies kann zu ungewünschtem Datenverlust von Kundeninformationen führen. Das Risko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

APPSEC-995 - Timing attack on hash checking
Es ist theoretisch möglich eine Timing Attacke auf die Funktion für die Passwortprüfung durchzuführen. Das Risiko für die Ausnutzung ist relativ gering, da der Aufwand für die Ausnutzung recht hoch ist.

Für Kunden des web-vision managed Hosting für Magento Shops, wurden die entsprechenden Patches sowohl auf den Produktiv- als auch den Staging-Systemen eingespielt und versioniert. Separate Informationen wurden an die Shopbetreiber versendet.

Weitere Informationen zu den in den Patches enthaltenen Updates erhalten Sie (in Englisch) hier:

https://magento.com/security/patches/supee-8788

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.


Kommentare (0)
Kommentar schreiben
 
 
Vollständiger Name:
E-Mail:
Kommentare:
Sicherheitsüberprüfung 
 
Um Ihre Eingabe zu verifizieren schreiben Sie bitte den Text auf dem Bild in das nebenstehende Feld.

web-vision www.web-vision.de/support