Sicherheitslücken bei Magento – Ein Update ist zwingend erforderlich! teilen twittern teilen mitteilen teilen Pocket E-Mail Marie-Sophie Göbel 11. Juli 2019 2 Minuten Lesezeit | Aktualisiert am 2. November 2019 Experten warnen vor Sicherheitslücken bei Magento – Ein Update ist zwingend erforderlich! Die Onlineshop-Software Magento weist gefährliche Lücken bei alten Versionen auf. Daher empfehlen wir allen Nutzern umgehend ein Update auf Magento 2.1.18, 2.2.9 oder 2.3.2. Worum geht es? Ende vergangenen Monats haben die Entwickler von Magento 75 Sicherheitsverbesserungen im Zuge eines Updates vorgenommen. Onlineshop-Betreiber und deren Kunden sollen vor verschiedenen Angriffen geschützt werden. Daher sollten Sie als Shop-Betreiber schnellstmöglich auf die neuste Version umsteigen, sofern Sie einen Magento Onlineshop betreiben. Die E-Commerce-Plattform Magento hat bekannt gegeben, dass 19 der behobenen Sicherheitslücken einen CVSS-v3-Score* von 7.4 („High“) bis hin zu 9.1 („Critical“) ausweisen. Diese Sicherheitslücken könnten zum Risiko für Shop-Betreiber werden und von Angreifern ausgenutzt werden. Hinzu kommt die Warnung vor sogenannten „Exploit-Chains“. Dies sind Verkettungen von Schadprogrammen, die Sicherheitslücken und Fehlfunktionen von Anwendungsprogrammen ausnutzen. Die entdeckte Sicherheitslücke mit der Kennung CVE-2019-7877, mit einem eher unscheinbaren CVSS-v3-Score von 5.5 („Medium“), ist auf den ersten Blick als harmlos zu betrachten. Experten warnen allerdings vor Cross-Site-Scripting. Angreifer können so die Session eines angemeldeten Nutzers übernehmen und an wichtige Daten gelangen, Anwendungen übernehmen oder sonstigen Schaden anrichten. Die Sicherheitshinweise von Magento umfassen etliche Lücken. Zunächst benötigt jede für sich eine Authentifizierung, dennoch lassen sie sich als Exploit-Chain anfügen. Es ist durchaus möglich, dass Angreifer die Kontrolle über die Magento-Installation übernehmen und so unter anderem Zahlungen von Shop-Kunden zu sich leiten können. Die genannte Kennung CVE-2019-7877 steckt in einigen Magento-Versionen vor 2.1.18, 2.2.9 oder 2.3.2. Ein Update wird daher dringend empfohlen. Magento Commerce und Magento Open Source Sicherheitsupdates sind auch für Magento Commerce und Magento Open Source geplant. CVE-2019-7877 ist bei beiden Anwendungen nicht enthalten. Allerdings sind sie von anderen bedrohlichen Sicherheitslücken betroffen. Was sagen wir von VARIO dazu? Wir raten allen Onlineshop-Betreibern dazu, ein Update durchzuführen. Das VARIO ERP-System beinhaltet eine Schnittstelle für Ihren Magento-Shop. Bei Fragen können Sie sich gerne an uns wenden. Begriffserklärungen *Mit dem CVSS (Common Vulnerability Scoring System) werden Sicherheitslücken in verschiedene Kategorien eingeteilt, bewertet und miteinander verglichen. CVSS warnt nicht vor Sicherheitslücken, sondern ist ein Standard um Beschreibungs- und Messsysteme allgemein verständlich zu machen. CVSS-v3 ist die neuste Version und beinhaltet zur Überarbeitung der Metrik auch die Einführung von Schlüsselwörtern für die Schweregrade (Kein, Mittel, Hoch, Kritisch). Über den Autor Marie-Sophie Göbel Das VARIO Redaktionsteam besteht aus Experten mit langjähriger Erfahrung in den Bereichen ERP und Handel sowie einem fundierten Wissen in den Bereichen Marketing und E-Commerce. Mit der nötigen Expertise stellen unsere Autoren Ihnen relevante und aktuelle Beiträge rund um die Themen ERP, Warenwirtschaft, Marketing und Handel zusammen. Top 3 Artikel Neues aus der Entwicklung: 2tes Halbjahr 2022Rechnungseingangs-Workflow – Automatisieren Sie Ihre Rechnungsprüfung mit VARIO 8IDW PS 880 Zertifizierung (GoBD-Zertifizierung) für VARIO 8 Themen E-Commerce Magento Onlineshop Newsletter Jetzt zum kostenlosen VARIO Newsletter anmelden! Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut. Vielen Dank für die Anmeldung. Wir haben Ihnen eine E-Mail mit einem Bestätigungslink zugeschickt. Ja, ich möchte den monatlichen Newsletter, der mich über die VARIO Software AG und deren Produkte informiert, abonnieren. Die Einwilligung kann ich jederzeit, z. B. über den Abmelde-Link im Newsletter, widerrufen. Die Datenschutzhinweise zum Newsletter habe ich zur Kenntnis genommen und akzeptiere sie.Sie können den Newsletter jederzeit über den Link in unserem Newsletter abbestellen. Jetzt anmelden Social Media