Magento-Shops durch Zend-Lücke angreifbar

Eine kritische Lücke im Zend-Framework sorgt dafür, dass die Shop-Software Magento beliebige auf dem Server befindliche Dateien ausgibt. Dadurch kann ein Angreifer unter Umständen den gesamten Server kompromittieren.

In Pocket speichern vorlesen Druckansicht 35 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Eine kritische Schwachstelle im Zend-Framework führt unter Umständen dafür, dass die freie Shop-Plattform Magento beliebige auf dem Server befindliche Dateien ausgibt (Remote File Disclosure). Sofern die Zend-XMLRPC-Schnittstelle von Magento aktiv ist, kann ein Angreifer durch die Lücke unter Umständen vertrauliche Dateien wie die Datenbank-Konfiguration auslesen und damit auf Kundendaten zugreifen.

Die Lücke ist zwar bereits seit rund zwei Monaten bekannt, allerdings haben etliche Shop-Betreiber noch nicht gehandelt: heise Security liegt eine Liste mit über 24 Shops vor, die bis vor kurzem noch verwundbar gewesen sein sollen – oder es noch sind. In vielen Fällen konnten wir das Problem noch am Dienstagvormittag nachvollziehen. Der Verfasser der Liste hat nach eigenen Angaben insgesamt nur rund 50 Shops durchprobiert, was einer Trefferquote von etwa 50 Prozent entspräche. Angesicht der Tatsache, dass bereits seit Ende Juni ein Exploit öffentlich verfügbar ist, ist diese Quote durchaus besorgniserregend.

Die Magento-Entwickler haben das Problem mit der Community-Version 1.7.0.2 ihrer Shop-Software beseitigt, auf die man von 1.7.x aufrüsten kann. Für ältere Versionen stehen Patches bereit. Wer die Enterprise- oder Professional-Edition nutzt, findet im Advisory die passenden Update-Instruktionen. Die Go-Version wird automatisch aktualisiert. Zend hat die Lücke mit den Versionen 1.11.12 und 1.12.0 sowie der Beta 5 des 2.0.0-Zweigs geschlossen. (rei)