Sicherheitslücke im Zend-Framework von Magento

addimage
  • Sumo

Am 5. Juli hat Varien darüber informiert, dass in Magento eine kritische Sicherheitslücke existiert, die schleunigst geschlossen werden sollte. Grund ist ein Problem mit dem Basisframework Zend, auf das Magento aufgesetzt ist. Über die XMLRPC-Schnittstelle ist es möglich auf sensible Daten des Shops zuzugreifen. Dazu zählen, Passwort- und Konfigurationsdaten und sogar Datenbankinformationen, wenn diese auf dem gleichen Server wie Magento selbst laufen.

Alle Magento-Shopbetreiber, die auf einer Version älter als 1.7.0.2 laufen, sollten daher dringend und unbedingt folgende Schritte durchführen.

Sicherheitsproblem lösen.

Vorsicht. Bitte sichert alle Dateien, bevor Ihr sie ändert und führt nicht ohne Vorbereitung ein Update von Magento auf 1.7.0.2 durch.

1. Kurzfristige Lösung: Schlimmeres verhindern

Um das Problem kurzfristig zu beheben könnt ihr entweder die Schnittstellen-URL per Server-Rewrite auf Forbidden setzen.

Dazu einfach die .htaccess Datei öffnen und folgende Rewrite-Regel einfügen.

RewriteCond %{REQUEST_URI} .*api/xmlrpc.* [NC]
RewriteRule (.*) – [F]

Falls Ihr nicht auf die .htaccess zugreifen könnt oder wollt, könnt Ihr auch einfach die entsprechende Funktion „entschärfen“.

Dazu einfach die Datei XmlrpcController.php aus dem Ordner /app/code/core/Mage/Api/controllers bearbeiten und den Inhalt der Funktion public indexAction() auskommentieren.
Das gibt zwar einen unschönen PHP-Fehler beim Aufruf der Schnittstelle, schützt aber zumindest vor Hacker-Angriffen.

2. Langfristige Lösung: Patch einspielen

Hierzu müsst Ihr die für eure Mangento-Version passende Patch-Datei herunterladen und den Patch entsprechend auf eurem Webserver ausführen. Falls ihr das selbst nicht könnt oder wollt, hilft euch euer Hoster sicherlich weiter.

http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.0.0-1.4.1.1.patch

http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.2.0.patch

http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.5.0.0-1.7.0.1.patch

Zum Ausführen des Patches einfach folgende Befehle in der Konsole oder über SSH eingeben:

cd lib/Zend/XmlRpc/
wget korrektedatei.patch
patch < korrektedatei.patch

Viel Erfolg beim Schließen der Sicherheitslücke.

Get our Free Updates through Email !

  • If you are going to use a passage of Lorem Ipsum, you need to be sure
  • The generated Lorem Ipsum is therefore always free from repetition, injected humour, or non-characteristic words etc

View all contributions by

{ 0 comments… add one }

Leave a Comment

Copyright Trendyblog @2014