Luecke in Magento-Shopsoftware gefaehrdet Kreditkartendaten

[NoG]

Einer Analyse des Sicherheitsdienstleisters Securi zufolge besteht in der Shop-Software Magento eine derzeit aktiv ausgenutzte Sicherheitsluecke, die es den unbekannten Angreifern ermoeglicht, kompletten Zugriff auf die Software zu erhalten. Dies werde derzeit aktiv genutzt, um persoenliche als auch ganz explizit Kreditkartendaten aus Zahlungsvorgaengen abzugreifen.

Demnach existiert offenbar eine bisher unbekannte Luecke, mittels derer es Angreifern moeglich ist, eigenen Code innerhalb der Magento-Installation auf einem Shop-Server einzubauen. Hierfuer werden durch Securi mehrere unterschiedliche Beispiele gezeigt, die an unterschiedlichen Stellen der Magento-Software auf verschiedenen Servern gefunden wurden. Allen gemein ist allerdings, dass es von Benutzer-Seite aus keinerlei Moeglichkeit gibt, einen solcherart kompromittierten Server zu erkennen.

Derzeit kann eine Kreditkartenzahlung bei Magento nutzenden Online-Shops also nur als sicher betrachtet werden, wenn die Zahlungsabwicklung direkt ueber den Anbieter der Kreditkarte erfolgt und nicht durch Uebermittlung der Kreditkartendaten an den Shop-Betreiber. Selbst dieser Weg koennte moeglicherweise mit deutlich hoeherem Aufwand noch kompromittiert werden, dies ist aber bisher anscheinend nicht versucht worden.

Ein mit Magento betriebener Shop laesst sich daran erkennen, dass sich im Quellcode der Seite die Zeilen

Code: Alles auswählen

Mage.Cookies.path     = '/';
Mage.Cookies.domain   = '.www.xxx.yyy';

finden, wobei

Code: Alles auswählen

www.xxx.yyy

mit der Website-Adresse des Shops zu ersetzen ist, also beispielsweise durch

Code: Alles auswählen

www.nureinbeispielshop.de

[NoG]

Jetzt wurde ein Patch veroeffentlich, der diese und weitere kritische Luecken in Magento schliessen soll:
http://merch.docs.magento.com/ce/user_g ... -2015.html

Angesichts des Ausmasses der bekanntgewordenen Sicherheitsluecken sollte dieser umgehend eingespielt werden.