Sicherheitslücken bei Magento – Ein Update ist zwingend erforderlich!

Experten warnen vor Sicherheitslücken bei Magento – Ein Update ist zwingend erforderlich!

Die Onlineshop-Software Magento weist gefährliche Lücken bei alten Versionen auf. Daher empfehlen wir allen Nutzern umgehend ein Update auf Magento 2.1.18, 2.2.9 oder 2.3.2.

Worum geht es?

Ende vergangenen Monats haben die Entwickler von Magento 75 Sicherheitsverbesserungen im Zuge eines Updates vorgenommen.

Onlineshop-Betreiber und deren Kunden sollen vor verschiedenen Angriffen geschützt werden. Daher sollten Sie als Shop-Betreiber schnellstmöglich auf die neuste Version umsteigen, sofern Sie einen Magento Onlineshop betreiben.

Die E-Commerce-Plattform Magento hat bekannt gegeben, dass 19 der behobenen Sicherheitslücken einen CVSS-v3-Score* von 7.4 („High“) bis hin zu 9.1 („Critical“) ausweisen. Diese Sicherheitslücken könnten zum Risiko für Shop-Betreiber werden und von Angreifern ausgenutzt werden.

Hinzu kommt die Warnung vor sogenannten „Exploit-Chains“. Dies sind Verkettungen von Schadprogrammen, die Sicherheitslücken und Fehlfunktionen von Anwendungsprogrammen ausnutzen. Die entdeckte Sicherheitslücke mit der Kennung CVE-2019-7877, mit einem eher unscheinbaren CVSS-v3-Score von 5.5 („Medium“), ist auf den ersten Blick als harmlos zu betrachten. Experten warnen allerdings vor Cross-Site-Scripting. Angreifer können so die Session eines angemeldeten Nutzers übernehmen und an wichtige Daten gelangen, Anwendungen übernehmen oder sonstigen Schaden anrichten.

Die Sicherheitshinweise von Magento umfassen etliche Lücken. Zunächst benötigt jede für sich eine Authentifizierung, dennoch lassen sie sich als Exploit-Chain anfügen. Es ist durchaus möglich, dass Angreifer die Kontrolle über die Magento-Installation übernehmen und so unter anderem Zahlungen von Shop-Kunden zu sich leiten können.

Die genannte Kennung CVE-2019-7877 steckt in einigen Magento-Versionen vor 2.1.18, 2.2.9 oder 2.3.2. Ein Update wird daher dringend empfohlen.

Magento Commerce und Magento Open Source

Sicherheitsupdates sind auch für Magento Commerce und Magento Open Source geplant. CVE-2019-7877 ist bei beiden Anwendungen nicht enthalten. Allerdings sind sie von anderen bedrohlichen Sicherheitslücken betroffen.

Was sagen wir von VARIO dazu?

Wir raten allen Onlineshop-Betreibern dazu, ein Update durchzuführen. Das VARIO ERP-System beinhaltet eine Schnittstelle für Ihren Magento-Shop. Bei Fragen können Sie sich gerne an uns wenden.

Begriffserklärungen

*Mit dem CVSS (Common Vulnerability Scoring System) werden Sicherheitslücken in verschiedene Kategorien eingeteilt, bewertet und miteinander verglichen. CVSS warnt nicht vor Sicherheitslücken, sondern ist ein Standard um Beschreibungs- und Messsysteme allgemein verständlich zu machen. CVSS-v3 ist die neuste Version und beinhaltet zur Überarbeitung der Metrik auch die Einführung von Schlüsselwörtern für die Schweregrade (Kein, Mittel, Hoch, Kritisch).