Menü
Alert!
Security

API der Hölle: Magento-Shops lassen sich über REST und SOAP kapern

Die Online-Shop-Software Magento hat mit einem Patch kritische Sicherheitslücken geschlossen. Über eine davon können unangemeldete Angreifer aus der Ferne beliebigen Schadcode ausführen und den Shop samt Kundendaten kapern.

Von
vorlesen Drucken Kommentare lesen 39 Beiträge
API der Hölle: Magento-Shops lassen sich über REST und SOAP kapern

(Bild: Brandon Grasley, CC BY 2.0 )

Ein Update behebt sechs Lücken im Online-Shop-CMS Magento. Zwei der Lücken sind kritisch, eine davon kann mit einem CVSS-Score von 9.8 als äußerst bedrohlich bezeichnet werden. Hier konnten Angreifer beliebigen Schadcode über eine API ausführen. Die andere kritische Lücke betrifft das Installations-Verzeichnis, das nach der Installation noch ausführbare Dateien enthält. Auch hier können Angreifer den Online-Shop komplett übernehmen.

Die Beschreibung der Lücke APPSEC-1420 liest sich wie ein Horror-Szenario: Über standardmäßig bei vielen Installationen aktivierte REST- und SOAP-APIs können Angreifer beliebigen PHP-Code aus der Ferne ausführen. Ohne sich dafür in irgendeiner Weise ausweisen zu müssen. Welche Versionen der Software genau betroffen sind, sagen die Magento-Entwickler nicht. Allerdings empfehlen sie allen Nutzern des 2.x-Zweiges direkt auf die neue Version 2.0.6 umzusteigen.

Wie das Einspielen des Updates bei den unterschiedlichen Magento-Ausgaben bewerkstelligt werden kann, beschreibt eine von den Entwicklern bereitgestellte Informations-Seite zu den Patches. Neben den zwei kritischen Lücken werden mit dem Update auch noch vier Bugs entfernt, von denen jeweils zwei mit den Prioritäten "Hoch" und "Medium" versehen sind.

Magento hat immer wieder mit kritischen Lücken zu kämpfen. Da es in der Natur eines Online-Shops liegt, dass dort wichtige private Informationen der Kunden gespeichert sind, sollte das Patchen dieser Installationen für Admins höchste Priorität haben. Leider ist das nicht immer der Fall, manchmal mit katastrophalen Folgen, wie die Geschichte des Updates SUPEE-5344 zeigt.

Korrektur: Den Anriss-Text bezüglich der Besitzverhältnisse des Magento-Codes angepasst. (fab)