Viele Magento-Shops sind unsicher

Die Entwickler der Shop-Software Magento warnen bereits seit dem 5. Juli 2012 vor einer kritischen Sicherheitslücke. Sicherheits-Updates sind bereits verfügbar. Der Fehler liegt in der Schnittstelle von Zend XMLRPC. Ist diese aktiviert, haben Angreifer über das Netz Zugriff auf sämtliche Dateien des Servers. Damit können sie auf Kundendatenbanken ebenso zugreifen wie auf Passwort- und Konfigurationsdateien, wenn sie auf dem Magento-Webserver liegen.

Bereits seit Ende Juni kursiert im Internet ein entsprechender Exploit für Magento-Shops. Umso unverständlicher ist, dass nach einer Stichproben-artigen Überprüfung durch den Magento-Spezialist Nakami Lounge am 10. August 2012 immer noch 24 von 50 Online-Shops mit einer ungepatchten Version arbeiteten. Um die Gefahrenlage zu demonstrieren, veröffentlichte der Spezialist deshalb ein Proof of Concept. Nakami hat außerdem die Shop-Betreiber über die Sicherheitslücke informiert.

Die Entwickler von Zend haben die Lücke mit den Versionen 1.11.12 und 1.12.0 sowie der Beta 5 von Version 2.0.0 geschlossen. Magento hat die Sicherheitslücke mit der Community-Version 1.7.0.2 gestopft. Für ältere Versionen stehen Sicherheits-Updates bereit. Nutzer der Enterprise- oder Professional-Edition erhalten genaue Anweisungen zur Installation des Updates im entsprechenden Advisory. Nur bei der Go-Version findet eine automatische Aktualisierung statt.