26. Januar 2016 - Online-Shops

Anwender von Magentos Software sollten nachbessern

Der Hersteller der weitverbreiteten Shop-Software Magento hat sein Produkt nachgebessert, um zahlreiche Sicherheitslücken zu schließen. Diese erlauben es Angreifern unter anderem, den kompletten Shop zu übernehmen und dort Nutzerdaten zu entwenden.

Nachbesserungen bei Magentos Software Betreiber von Online-Shops, die Software von Magento einsetzen, sollten umgehend die neu veröffentlichten Programmversionen einspielen, um Sicherheitsrisiken zu eliminieren (Bild: Anatoliy Babiy / iStock / Thinkstock)

Die Ebay-Tochter Magento Inc., Hersteller der gleichnamigen Software-Lösung für Online-Shops, hat gleich ein Bündel von Patches veröffentlicht, um sicherheitsrelevante Schwachstellen seines Produkts zu beseitigen. Betroffen sind die Versionen Magento Community Edition (CE) vor 1.9.2.3, Magento Enterprise Edition (EE) vor 1.14.2.3 sowie Magento 2 CE und EE vor 2.0.1.

Übernahme des Servers möglich

In der Meldung zu den Sicherheitslücken führt Magento rund zwei Dutzend von Fehlern auf, die unterschiedliche Attacken erlauben. So ist es Angreifern etwa möglich, Cross-Site-Scripting-Schwachstellen über das Internet auszunutzen, um per manipulierten E-Mail-Adressen oder Kommentaren eigenen Javascript-Code auf den Server zu schmuggeln, auf dem Magento eingesetzt wird, und dort mit Administrator-Rechten auszuführen. So kann unter bestimmten Rahmenbedingungen die Kontrolle über den Online-Shop erschlichen werden.

Weitere Schwachstellen erlauben etwa den illegitimen Zugriff auf Kundendaten oder Denial-of-Service-Attacken.

Bislang keine Angriffe bekannt

Der Hersteller betont, dass keine der jetzt bekannt gewordenen Fehler bislang zu Angriffen ausgenutzt wurde. Dennoch ist es für Betreiber von Online-Shops, die Magento-Lösungen einsetzen, ratsam, die jetzt angebotenen Korrekturen schnellstmöglich einzuspielen, da mit Bekanntgabe der Nachbesserungen Angriffe auf nicht gepatchte Systeme zu erwarten sind.

Magento hat die entsprechenden fehlerkorrigierten Versionen seiner Produkte veröffentlicht und stellt diese über seine Download-Seite bereit.

fgo

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln