Teilen Teilen Kommentare Drucken

Sicherheitslücke bedroht Magento-Shops – Update bereitgestellt

Veröffentlicht: 27.01.2016 | Autor: Martin Gaitzsch | Letzte Aktualisierung: 27.01.2016

Eine Sicherheitslücke bedroht zahlreiche Magento-Versionen. Mittels eines manipulierten Javascript-Codes könnten Administratordaten ausgespäht und auch verändert werden. Deshalb hat Magento ein Patch-Bundle bereitgestellt, mit dem Magento-User diese sicherheitsrelevanten Probleme beheben können.

 Schloss mit Loch

(Bildquelle Schloss mit Loch: wk1003mike via Shutterstock)

Nach Angaben von t3n ist der Hinweis auf eine XSS-Sicherheitslücke bei Magento zuerst auf dem Sucuri-Blog aufgetaucht. Konkretisiert befindet sich der fehlerhafte Code in den Magento-Core-Libraries direkt im Administrator-Backend. Weil die Sicherheitslücke ein sogenannter Stored-XXS-Bug ist, könnten Hacker damit den kompletten Online-Shop übernehmen, dadurch neue Administrator-Konten anlegen sowie Kundendaten entnehmen beziehungsweise manipulieren.

Patch-Download behebt Sicherheitslücke 

Magento hat auf die Sicherheitslücke umgehend reagiert und ein Patch-Bundle bereitgestellt, das die Probleme beheben soll. Dabei handelt es sich um den SUPEE-7405-Patch, vom Typ Cross-site-Skripting-Stored (XSS).

Nach Informationen von heise.de hat Magento versichert, dass bislang noch keine Sicherheitslücke ausgenutzt werden konnte. Wer nicht dazu kommt, auf Magento CE 1.9.2.3 und Magento EE 1.14.2.3 zu aktualisieren, sollte seine Online-Shops wenigstens durch eine Firewall schützen. Da Magento selbst den Bug durchaus als kritisch eingeschätzt hat, sollte die Aktualisierung auf die richtige Magento-Version schnellstmöglich nachgeholt werden.

Kommentare  

#1 Michael 2017-02-08 23:15
Hallo,

unser Magento Shop ist gehackt worden. Wir bieten Drohnen und RC Spielzeuge an. Nachdem ein IT Forensiker unser Onlineshop nach dem Hacking Angriff wieder repariert hat, fragte ich mich wie wir dies in Zukunft verhindern können. Die Aktion kostete uns 2900 EUR und ich weiß nicht ob wir Kundendaten verloren haben? Wahrscheinlich ist es.

Auf meiner Suche habe ich 2 Angebote gefunden. Eines aus Deutschland und eines aus den USA. Kann mir jemand sagen was man von diesen Angeboten halten kann und für welches sollte ich mich entscheiden?

Nr. 1 Deutschland
https://janotta-partner.de/projekt-defense.html
Nr. 2 USA:
https://sucuri.net/website-firewall/signup

Freue mich auf Meinungen...
Gruß Michael
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.