Wer die Hinweise zum aktuellen Patch SUPEE-9767 bzw. zu den neuen Versionen nur flüchtig liest, der verpasst wesentliches. Nach einigen Tagen Erfahrung mit dem neuen Patch, möchten wir an dieser Stelle zusammenfassen, was vor bzw. nach der Installation beachtet werden muss.
Updates für Magento 1 und Magento 2
Magento hat neue Patches und Versionen für Magento 1 und neue Versionen für Magento 2 veröffentlicht. Es wurden eine Vielzahl von Sicherheitsproblemen beseitigt. Betroffen sind sowohl Magento Community Edition (CE), als auch die Magento Enterprise Edition (EE).
Magento durch Fehler bei Datei-Uploads verwundbar
Das Magento Team weist am heutigen Tag auf eine seit längerer Zeit bekannte Sicherheitslücke in seiner eCommerce-Software hin.
Die Funktion für das hinzufügen eines Vimeo-Videos kann für den Upload beliebigen Codes auf den Server missbraucht werden. Es ist möglich eine .htaccess-Datei ins Upload-Verzeichnis einzuschleusen, mit Hilfe derer dort das Ausführen von PHP-Code erlaubt werden kann. Anschießend kann nun eine PHP-Datei mit beliebigen Code hochgeladen und ausgeführt werden.