[Warning] Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar

Stephan Richter richter at cert.at
Fri Apr 14 19:45:07 CEST 2017


14. April 2017

Wie die Firma DefenseCode berichtet, gibt es mehrere Sicherheitslücken
in der verbreiteten Webshop-Software Magento. Eine dieser Lücken
erlaubt unter anderem Remote Code Execution.

Beschreibung

Angreifer können mit einfachen Mitteln Magento-Installationen dazu
bringen, beliebigen Code auszuführen.

Da die Methode nun öffentlich bekannt und trivial umzusetzen ist, ist
anzunehmen, dass entsprechende Angriffe bald grossflächig stattfinden
werden.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen
Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen,
sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN
etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen Magento "Community Edition" zumindest in Version
2.1.6 installiert ist. Ob andere Versionen bzw. die kommerzielle
"Enterprise Edition" auch betroffen sind, ist momentan noch nicht klar.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Als temporäre Massnahmen bietet sich etwa an, in der Konfiguration des
Webservers sicherzustellen, dass in dem Verzeichnisbaum, in dem Magento
hochgeladene Image-Dateien ablegt, ein Aktivieren von (PHP-)
Code-Ausführung nicht durch Einschleusen von .htacccess-Dateien (wie zB
von der Webserver-Software Apache unterstützt) nicht möglich ist.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle
Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
  __________________________________________________________________

Informationsquelle(n):
Meldung von DefenseCode (PDF, englisch)
http://www.defensecode.com/advisories/DC-2017-04-003_Magento_Arbitrary_File_Upload.pdf
Meldung von Kaspersky (englisch)
https://threatpost.com/high-risk-zero-day-leaves-200000-magento-merchants-vulnerable/124965/

-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170414/e2f39360/attachment.sig>


More information about the Warning mailing list