Schlagwort-Archive: Sicherheit

Tipps zum Magento Patch SUPEE-8788

Magento e-CommerceAm 12. Oktober 2016 wurde für die Magento Version 1 und die Magento Version 2 der Sicherheits-Patch SUPEE-8788 veröffentlicht, der eine Reihe von Problemen behebt.

Was wurde mit SUPEE-8788 behoben?

Die folgenden Schwachstellen wurden behoben:

  • Remote-Code-Ausführung (RCE) beim Check-Out
  • SQL-Injection durch Verwundbarkeit der verwendeten Zend-Framework-Bibliothek
  • Cross-Site-Scripting im „Einladungs-Funktion“ der Enterprise Edition
  • Informationen Leckage, die es ermöglicht sensitive Shop Daten z.B. über die Datenbank-Verbindung in Erfahrung zu bringen und Code auszuführen.
  • Unzureichender Datenschutz, ermöglicht eine Anmeldung nur mit einer Kunden-Mail-Adresse.
  • Remote-Code-Ausführung (RCE) im Import- und Export Modul
  • Cross-site scripting im Flash Datei/Bild Uploader
  • Jede Menge anderer Probleme.

Was ist zu tun?

Umgehend den Patch einspielen. Wer nicht weiß auf welchem Patche-Level sich sein Online Shop befindet, findet im Artikel „In Magento installierte Patches verifizieren“ eine Anleitung dies auf Datei-Ebene zu tun. Es gibt aber auch die Webseite MageReport.com, die als Online Tool den Webshop auf Schwachstellen hin prüft.

Wie einspielen?

Wer des englischen mächtig ist, findet auf der Webseite von Magento selbst, einen guten Artikel wie Patches eingespielt werden. Hmm, sollte ich auch noch Schreiben, diesen Artikel! Ok, kommt auf meine Liste.

Probleme beim installieren?

Wenn sich der Patch nicht einspielen lässt und stattdessen die folgende Fehlermeldung erscheint:

patching file skin/adminhtml/default/default/media/uploaderSingle.swf
Reversed (or previously applied) patch detected!  Assume -R? [n]
Apply anyway? [n]
Skipping patch.
1 out of 1 hunk ignored -- saving rejects to file skin/adminhtml/default/default/media/uploaderSingle.swf.rej

dann hat das vielleicht damit zu tun, dass Ihr den Patch auf Euren Rechner runter geladen habt und in dann anschließend per FTP auf den Server geladen habt. Der Patch enthält aber so genannten „Binary Content“, da der Flash-Image-Unploader als swf-Datei Bestandteil der Patch-Datei ist, der Patch aber im TEXT-Modus hochgeladen wird. Deshalb erscheint die obige Fehler-Meldung.

Die Lösung lautet, den Patch auf dem lokalen System zu packen, z.B. tar.gz-Datei, diese hochladen und danach entpacken. Jetzt sollte der Patch ohne Probleme zu installieren sein.

Frohes patchen wünscht
Chefkoch

Keine Bildanzeige mehr nach Installation von SUPEE 7405 Patch

Magento e-CommerceFalls nach der Installation vom SUPEE 7405 Patch für Magento keine neu hochgeladenen Bilder mehr angezeigt werden, so kann das mit den veränderten Dateiberechtigungen zu tun haben, die mit diesem Patch eingeführt wurden und die auf neu hochgeladene Bilder angewendet werden.

Bisher, also vor SUPEE 7405, bekamen Bilder bei einem Upload die Berechtigung 644 verpasst. Mit dem Update wurde das in 640 geändert. Das bedeutet, dass die Leseberechtigung für „Public“ entzogen wurde. Falls der Webauftritt als Modul (mod_php) ausgeführt wird ändert sich nichts, da der Besitzer immer noch die notwendigen Rechte besitzt. Falls das Hosting jedoch z.B. FastCGI verwendet, fehlen der ausführende Instanz ab sofort die notwendigen Berechtigungen für eine Anzeige der Bilder.

Im Falle der Bilder die mit dem Media-Manager von Magento hochgeladen werden lässt sich die entsprechende Datei einfach anpassen. Dies geschieht im folgenden mit einem File Override, also einer Methode die keinen so genannten Core-Hack erfordern, also das anpassen von systemrelevanten Komponenten-Dateien die bei einem Update wieder überschrieben werden würden. Keine Bildanzeige mehr nach Installation von SUPEE 7405 Patch weiterlesen

In Magento installierte Patches verifizieren

Magento Online ShopHabe ich oder habe ich nicht? Wer Internetauftritte, die unter Magento, WordPress oder Joomla! laufen betreut, stellt sich häufig die Frage ob ein bestimmtes Update bereits eingespielt wurde. Wenn wie im konkreten Fall bei einer Magento Installation die Update Historie unklar war oder ist, können unter Umständen überhaupt keine weiteren Updates eingespielt werden, da neuere oft auf älteren Updates aufbauen.

Um unter Magento die Patch Historie zu prüfen, reicht es aus, die Datei /app/etc/applied.patches.list mit einem FTP Programm zu öffnen und schon lässt sich genauestens prüfen welcher SUPEE Patch und in welcher Version bereits installiert wurde.

Nachfolgend ein Auszug aus dieser Datei:

2015-12-07 19:08:16 UTC | SUPEE-6788 | CE_1.9.1.1 | v1 | 2349a68440e870cd68dfa81fb982f3b7a42cd099 | Fri Oct 23 14:49:16 2015 +0300 | b240663
patching file .htaccess
patching file .htaccess.sample

In Zeile #1 finden sich Angaben zu:

  • Installations-Datum: 2015-12-07 19:08:16 UTC
  • Patch Nummer: SUPEE-6788
  • Freigegeben bis Magento Version: CE_1.9.1.1
  • Installierte Version: v1
  • Checksumme: 2349a68440e870cd68dfa81fb982f3b7a42cd099
  • Erscheinungs-Datum: Fri Oct 23 14:49:16 2015 +0300
  • Prüfsumme?: b240663

Zeilen #2 und #3 zeigen die gepatchten/aktualisierten Dateien, zum Beispiel: .htaccess und .htaccess.sample.

Frohes patchen wünscht
Chefkoch

Joomla Patch Day voraus

Joomla Patch Day

Ich glaube, es handelt sich bei Joomla! um ein Novum! Am heutigen Nachmittag deutscher Zeit 16:00 Uhr, erscheint ein als sehr kritisch eingestufter Sicherheits-Patch in der Version 3.4.5 für Joomla!, den Administratoren unverzüglich einspielen sollen. Das Security Announcement beschreibt den Fehler nicht näher, rät aber dringend zum einspielen.

Sobald weitere Information verfügbar sind, werde ich die Nachricht aktualisieren.

[UPDATE: 22.10:2015, 16:00]

Es handelt sich, wie in diesen Fällen häufig, zum einen um ein Core SQL Injection Lücke mit hoher Priorität und zum anderen um zwei ACL (Access Control List) Lücken mittlerer Priorität. Mehr Information dazu findet Ihr hier.

Banges Warten Gutes updaten wünscht
Chefkoch

WordPress 4.3.1 Sicherheits- und Wartungs-Version erschienen

Wordpress Security

Heute erschien für WordPress ein Sicherheitsupdate welches mehrere als kritisch eingestufte Lücken schließt. Unter anderem zwei Cross-Site Scripting Lücken (CVE-2015-5714), sowie eine weitere Lücke (CVE-2015-5715), die es in seltenen Fällen erlaubt, Benutzern ohne ausreichende Rechte private Posts zu veröffentlichen und diese als „sticky“ zu markieren. Des weiteren wurden 26 Fehler bereinigt. Anwender sollten schnellstens das Update einspielen.

Frohes Schützen wünscht
Chefkoch

Einzelne IP Adressen vom Zugriff auf die Website aussperren

Wie man unerwünschtes auslesen der Webseite durch Crawler, Spider oder allgemeiner Robots bzw. Bots genannt verhindern kann, habe ich ja bereits im Artikel Unerwünschtes crawlen der Website durch Bots bzw. Spider verhindern beschrieben.

Manchmal kann es aber notwendig sein, bestimmte IP Adressen vom Aufruf der Webseite zu hindern, z.B. bei einem Angriffsversuch auf die Webseite. Mit Hilfe der folgenden Einträge in der .htaccess Datei im Startverzeichnis der Seite lassen sich unerwünschte Besucher elegant abwehren:

order allow,deny 
deny from 192.168.1.100
deny from 41.222.48.90
allow from all

Pro IP-Adresse wird eine eigene Zeile verwendet. Falls sich unter dem aktuellen Verzeichnis Unterverzeichnisse befinden, so gilt die Regel auch für diese Verzeichnisse. Ein Aufruf einer Seite erzeugt in den (Apache) log files einen 403 Fehlercode.

Den Code abschließend noch in die .htaccess Datei, normalerweise die, die sich im Root (Wurzelverzeichnis) der Webseite befindet kopieren und speichern. Der Eintrag kann noch vor dem Eintrag ‚RewriteEngine On‘ eingetragen werden.

Frohes blockieren wünscht
Chefkoch

Joomla Updates 3.2.3 und 2.5.19 erschienen – Inkl. Datenbankschemaversion Fehler

Joomla! Open Source CMSVor ein paar Tagen erschienen die beiden Updates für das Joomla! CMS in den Versionen 2.5.19, für den aktuellen LTS (Long Term Support) und für 3.2.3, die aktuelle STS (Short Term Support) Version.

Vor allen Dingen das Update für den 3-er Strang sollt umgehend einspielt werden, das das Update eine als hoch eingestufte SQL-Injection Sicherheitslücke enthält und weitere 40 Fehler beseitigt.

Die Updates lassen sich über die in Joomla integrierte Update-Funktion im Administrationsbereich einfach einspielen. Zuvor sollte, wie immer, ein Backup erstellt werden.

Fehler nach Update auf 3.2.3: Falsche Datenbankschemaversion

Nach dem Update auf die Version 3.2.3, und nur nach einem Update auf diese Version, erscheint in der Joomla Administration im Bereich „Erweiterungen“ – „Datenbank“ die folgende Fehlermeldung: „Achtung: Die Datenbank ist nicht auf dem neuesten Stand!“ und darunter: „Die Datenbankschemaversion (3.2.3-2014-02-20) passt nicht zur CMS-Version (3.2.3).“

Joomla3 falsche Datenbankschemaversion nach update

Da es sich hierbei um ein Darstellungsfehler (View) handelt, kann diese Meldung ignoriert werden. Weitere Informationen zum Fehler findet Ihr im Artikel Database schema version (3.2.3-2014-02-20) does not match CMS version (3.2.3). Der Fehler wird mit dem nächsten Update beseitigt. Unter Github wird ein Fix beschrieben, für den der es interessiert.

Frohes Updaten wünscht
Chefkoch

Unerwünschtes crawlen der Website durch Bots bzw. Spider verhindern

Website Crawler, auch Spider oder allgemeiner Robots bzw. Bots genannt, durchforsten das Internet und analysieren automatisch Internetauftritte um diese zu indexieren. Was bei Google, Bing und Co. erwünscht ist kann bei anderen „Besuchern“ aber auch schnell zur Last werden. Dies kann, sogar im wahrsten Sinne des Wortes, schnell zur Last werden und zwar für den jeweiligen Server auf dem die Webseite gehostet wird und der ständig unter Volldampf läuft.

Um bestimmte Bots vom durchsuchen der eigenen Website auszuschließen gibt es 2 Methoden. Zum einen mit Hilfe einer robots.txt Datei und als zweite Lösung die, mit Hilfe von URL rewrite Regeln in einer .htaccess Datei.

Ich möchte deshalb nur näher auf die zweite Methode eingehen, da das befolgen der Anweisungen einer robots.txt keine Pflicht darstellt und sich einige Spider nicht daran halten. Unerwünschtes crawlen der Website durch Bots bzw. Spider verhindern weiterlesen

BSI Studie zum Thema Sicherheit von Content Management Systemen

Vor kurzem wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine mehr als 160 seitige Studie veröffentlicht, die den gängigen Content Management Systemen (CMS) von WordPress, Joomla!, Drupal, Typo3 und Plone auf den sicherheitstechnischen Zahn fühlt.

Untersucht wurden unter anderem einzelne Phasen des Softwarelebenszyklus, sowie Themen wie beispielsweise Protokollierungseinstellungen und Datenschutz, welche mittelbaren Einfluss auf das Sicherheitsmanagement haben.

Es wurden verschiedene Szenarien durchgespielt, um einen realen Bezug herstellen und Handlungsempfehlungen geben zu können. Szenarien waren dabei eine „Private Event Site“, ein „Bürgerbüro in einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und ein „Mittelständisches Unternehmen mit mehreren Standorten“.

Graphische Darstellung der Schwachstellen in den Erweiterungen und Basis-Installation
Bild: BSI

Eine, für viele wahrscheinlich wenig überraschende, Erkenntnis der Studie ist, das die Grundsysteme von Joomla!, WordPress und Co. Wesentlich sicherer sind als viele der von Drittherstellern angebotenen Erweiterungen. So fallen ca. 20% der gefundenen Fehler bei WordPress auf die Basis-System und die restlichen 80% auf Erweiterungen. Bei Joomla! Und TYPO3 unterscheiden sich die Zahlen mit 13% bzw. 14% Basis und 87% und 86% nur unwesentlich.

Letzten Endes sollte ein System stets aktualisiert werden und nur so viele Erweiterungen wie nötig und so wenig wie möglich installiert werden.

Viel Spaß wünscht
Chefkoch

Link zum BSI Artikel: Content Management System (CMS)

WordPress Update 3.5.2 schließt Sicherheitslücken und Bugfixes

Mit dem aktuell erschienenen WordPress Update 3.5.2 schließt das WordPress Entwicklerteam insgesamt 12 Schwachstellen und 7 Sicherheitslücken. Es handelt sich hierbei um ein Sicherheitsupdate für alle früheren Versionen, und es wird dringend angeraten, Website auf denen WordPress installiert ist, sofort zu aktualisieren.

Die Security-Fixes enthalten:

  • Cross-Site-Scripting(XSS),
  • Server-Side-Request-Forgery- (SSRF),
  • und Denial-of-Service-Attacken (DoS)

Download WordPress 3.5.2 oder ein direktes Update über das Dashboard → Updates menü im Adminbereich der WordPress Installation.