Am 12. Oktober 2016 wurde für die Magento Version 1 und die Magento Version 2 der Sicherheits-Patch SUPEE-8788 veröffentlicht, der eine Reihe von Problemen behebt.
Was wurde mit SUPEE-8788 behoben?
Die folgenden Schwachstellen wurden behoben:
- Remote-Code-Ausführung (RCE) beim Check-Out
- SQL-Injection durch Verwundbarkeit der verwendeten Zend-Framework-Bibliothek
- Cross-Site-Scripting im „Einladungs-Funktion“ der Enterprise Edition
- Informationen Leckage, die es ermöglicht sensitive Shop Daten z.B. über die Datenbank-Verbindung in Erfahrung zu bringen und Code auszuführen.
- Unzureichender Datenschutz, ermöglicht eine Anmeldung nur mit einer Kunden-Mail-Adresse.
- Remote-Code-Ausführung (RCE) im Import- und Export Modul
- Cross-site scripting im Flash Datei/Bild Uploader
- Jede Menge anderer Probleme.
Was ist zu tun?
Umgehend den Patch einspielen. Wer nicht weiß auf welchem Patche-Level sich sein Online Shop befindet, findet im Artikel „In Magento installierte Patches verifizieren“ eine Anleitung dies auf Datei-Ebene zu tun. Es gibt aber auch die Webseite MageReport.com, die als Online Tool den Webshop auf Schwachstellen hin prüft.
Wie einspielen?
Wer des englischen mächtig ist, findet auf der Webseite von Magento selbst, einen guten Artikel wie Patches eingespielt werden. Hmm, sollte ich auch noch Schreiben, diesen Artikel! Ok, kommt auf meine Liste.
Probleme beim installieren?
Wenn sich der Patch nicht einspielen lässt und stattdessen die folgende Fehlermeldung erscheint:
patching file skin/adminhtml/default/default/media/uploaderSingle.swf Reversed (or previously applied) patch detected! Assume -R? [n] Apply anyway? [n] Skipping patch. 1 out of 1 hunk ignored -- saving rejects to file skin/adminhtml/default/default/media/uploaderSingle.swf.rej
dann hat das vielleicht damit zu tun, dass Ihr den Patch auf Euren Rechner runter geladen habt und in dann anschließend per FTP auf den Server geladen habt. Der Patch enthält aber so genannten „Binary Content“, da der Flash-Image-Unploader als swf-Datei Bestandteil der Patch-Datei ist, der Patch aber im TEXT-Modus hochgeladen wird. Deshalb erscheint die obige Fehler-Meldung.
Die Lösung lautet, den Patch auf dem lokalen System zu packen, z.B. tar.gz-Datei, diese hochladen und danach entpacken. Jetzt sollte der Patch ohne Probleme zu installieren sein.
Frohes patchen wünscht
Chefkoch
Als Chefkoch arbeite ich als Systemadministrator und Programmierer. Hier blogge ich über Joomla, Magento, WordPress und Windows. In meiner Freizeit fotografiere ich viel, fahre mit meiner Yamaha XT660R oder Jogge durch die Gegend.