Neuer Magento 1 Patch - SUPEE-10415 (Magento Open Source 1.9.3.7, Magento Commerce 1.14.3.7)

Am heutigen Dienstag hat Magento eine neue Version für Magento 1 veröffentlicht und damit weitere Sicherheitslücken geschlossen. Das Update bzw. der Patch wird allen Magento 1-Nutzern empfohlen  unabhängig davon, ob der kostenfreie Magento Open Source oder der kostenpflichtige Magento Commerce-Shop verwendet wird.

Mit dem Patch werden mehrere Lücken im Bereich Cross-Site Request Forgery (CSRF), Denial-of-Service (DoS) und Remote Code Execution (RCE) mit Administrator-Rechten geschlossen. Das betrifft insbesondere die folgenden Bugs:

  • Ein Besucher kann einen Account anlegen und dabei einen Parameter mitsenden, der einen Totalausfall des Servers verursacht (Denial-of-Service).
  • Ein Administrator kann Scripte in die Produktbeschreibung und Produktkurzbeschreibung einfügen, die für einen Cross-Site-Scripting-Attacke auf die Seitenbesucher genutzt werden kann.
  • Ein Administrator kann eine Cross-Site-Scripting-Attacke über das Visual Merchandiser System verursachen.
  • Ein Administrator kann über Promo-Felder eine Remote-Code-Execution auslösen.
  • Ein Problem mit der SOAP V1 WSDL, dass wenige Kunden betrifft.
  • Ein Administrator kann über eine fehlerhafte Konfiguration eine Remote-Code-Execution auslösen.
  • Ein Administrator kann eine Seite über das Content-Management-System (CMS) anlegen, die eine Cross-Site-Scripting-Attacke enthält.
  • Ein Administrator kann eine Seite über das Content-Management-System (CMS) anlegen, die von Magento falsch verarbeitet wird und zu einem Remote-Code-Execution-Problem führen kann.
  • Ein Administrator kann Rechnungsvereinbarungen anlegen, über die eine Cross-Site-Scripting-Attacke möglich ist.
  • Ein Administrator kann beim Einfügen eines Widgets ein Remote-Code-Execution-Problem verursachen.

Hier finden Sie die weitere Informationen und die Downloads direkt bei Magento:

Wie immer werden conono-Kunden mit entsprechendem Servicevertrag automatisch über den anstehenden Update-Termin informiert. Sie haben noch keinen Servicevertrag und suchen einen Partner, der proaktiv alle notwendigen Security-Patches für Ihren Magento-Shop durchführt? Wenden Sie sich an uns, um ein individuelles Angebot zu erhalten ...

Roberto Schulz (Chemnitz, Sachsen), 28. November 2017

Vorheriger Artikel

Nächster Artikel