RSS Feed
Nachrichten
Sep
25
Wichtiges Magento Sicherheitsupdate - SUPEE-10266
Veröffentlicht von Boris Hinzer am 25.09.2017 10:37

Guten Tag,

wir sind von Magento über das als KRITISCH eingestufte Sicherheitsupdate SUPEE-10266 informiert worden, welches die folgenden Sicherheitslücken in Magento schließt:

--- SNIPPET ---
APPSEC-1838: RSS session admin cookie can be used to gain Magento administrator privileges
Ein Angreifer kann einen RSS Session Cookie dazu benutzen, um die Zugriffsrechte anzuheben und so Zugriff zum Magento Admin Bereich zu erhalten.

APPSEC-1800: Remote Code Execution vulnerability in CMS and layouts
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann bei der Erstellung einer neuen CMS Seite bösartigen Code hinzufügen, der dann ausgeführt werden kann.

APPSEC-1835: Exposure of Magento secret key from app/etc/local.xml
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann Inhalte erstellen, die auf sensible Teilbereiche der Magento Konfiguration zurückgreifen und veröffentlichen, um so weitere Zugriffe zum System zu erhalten. Konkret kann auf den Magento Secret Key, welche in der app/etc/local.xml Datei steht, zugegriffen werden.

APPSEC-1757: Directory traversal in template configuration
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann die Magento Systemhinweise (Notifications) dazu missbrauchen, um weiteren Code einzubetten.

APPSEC-1852: CSRF + Stored Cross Site Scripting (customer group)
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann eine Lücke innerhalb der Magento Kundengruppen dazu nutzen um eine URL zu erzeugen, welche dann als Teil einer CSRF (Cross-Site-Request-Forgery = Website-übergreifende Anfragenfälschung) fungiert.

APPSEC-1494: AdminNotification Stored XSS
Ein Angreifer mit der Fähigkeit, eine Man-in-the-Middle-Attacke auf eine Netzwerkverbindung zu starten, könnte Code in den Magento Admin RSS-Feed einfügen.

APPSEC-1793: Potential file uploads solely protected by .htaccess
Ein Angreifer kann auf Nicht-Apache (Webserver) Installationen (z. B. Nginx) ausführbare Skripte hochladen, welche dazu genutzt werden können um weitere Sicherheitslücken zu schaffen.

APPSEC-1853: CSRF + Stored Cross Site Scripting in newsletter template
Ein Admin-User, mit Magento Backend Zugriff und eingeschränkten Zugriffsrechen, kann eine Lücke innerhalb der Magento Newslettertemplates dazu nutzen um eine URL zu erzeugen, welche dann als Teil einer CSRF (Cross-Site-Request-Forgery = Website-übergreifende Anfragenfälschung) fungiert.

APPSEC-1729: XSS in admin order view using order status label in Magento
Ein Administrator kann Code in Kundenauftrage einschleusen, was zu einem XSS-Angriff (XSS = Cross-Site-Scripting, Webseitenübergreifendes Skripting) auf jedermann führen kann, der die Seite betrachtet.

APPSEC-1579: Customer Segment Delete Action uses GET instead of POST request
Ein Magento-Administrator kann böswillige Aktionen durch eine unzureichende Sicherheitsprüfung des Formularschlüssels auf der Kundensegmentseite durchführen.

APPSEC-1588: Order Item Custom Option Disclosure
Ein Angreifer kann eine URL-Anfrage auf einer Magento-Site während des Kassenprozess erstellen und so Informationen über vergangene Bestellungen abrufen.

APPSEC-1599: Admin login does not handle autocomplete feature correctly
Mehrere Felder im Admin-Panel behandeln nicht automatisch die Autovervollständigung der Browser. Dies könntet zu einem potenziellen Informationsleck führen, wenn ein Browser versucht, das Feld automatisch zu vervollständigen.

APPSEC-1688: Secure cookie check to prevent MITM not expiring user sessions
Magento überprüft Session-Cookies nicht ordnungsgemäß oder lässt diese ablaufen. Dies kann einem Besucher ermöglichen, abgelaufene Cookies zu verwenden, um so mit dem Shop zu interagieren.
--- SNIPPET --

Für Kunden des web-vision managed Hosting für Magento Shops, wurden die entsprechenden Patches sowohl auf den Produktiv- als auch den Staging-Systemen eingespielt und versioniert. Separate Informationen wurden an die Shopbetreiber versendet.

Weitere Informationen zu den in den Patches enthaltenen Updates erhalten Sie (in Englisch) hier: https://magento.com/security/patches/supee-10266


Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.


Kommentare (0)
Kommentar schreiben
 
 
Vollständiger Name:
E-Mail:
Kommentare:
Sicherheitsüberprüfung 
 
Um Ihre Eingabe zu verifizieren schreiben Sie bitte den Text auf dem Bild in das nebenstehende Feld.

web-vision www.web-vision.de/support