BSI warnt vor gehackten Magento-Onlineshops

BSI Lagezentrum: Warnung vor gehackten Onlineshops
Das Nationale IT-Lagezentrum im BSI
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gehackten Onlineshops. 1.000 deutsche Shops sollen betroffen sein, heißt es. Über Sicherheitslücken in der Shopsoftware platzieren Hacker schädlichen Code. Als Folge davon werden Kunden dieses Shops auf Seiten geleitet, auf der sie Zahldaten wie Kreditkartendaten eingeben sollen. Die Betrüger belasten die Karte, liefern die Ware natürlich nicht.
„BSI warnt vor gehackten Magento-Onlineshops“ weiterlesen

Achtung Magento-Nutzer: Patch 2.0.6 einspielen

Magento Logo
Es gibt einen wichtigen Sicherheitspatch, der eine kritische Lücke mit der API beheben soll. Angreifer können mit REST oder SOAP Code ausführen und den Shop übernehmen. Betroffen sind sowohl die Enterprise- als auch die Communityversion. Version 2.0.6 enthält den Patch, der die Lücke schließt.
Darüber berichten Heise und The Register (UK). Der Entdecker der Lücke, Netanel Rubin in Israel, beschreibt in seinem Blog „0-Days and Life“ die Sicherheitsprobleme ausführlich.
(Bild: Magento Logo, Quelle: http://www.magentocommerce.com/company/media
This file is licensed under the Creative Commons Attribution-Share Alike 3.0 Unported license)

Neue Sicherheitspatches für Magento schließen teils kritische Lücken

Wie unter anderem heise.de berichtet, sind aktuelle Sicherheitspatches für das Onlineshop-System Magento erschienen. Die Sammlung an Patches mit der Bezeichnung SUPEE-7405, die direkt auf der Seite von Magento heruntergeladen werden kann, schließt auch Lücken, die als kritisch eingestuft worden sind. Angreifer können per Cross Site Scripting (XSS) Schadcode einschleusen und die Website kapern.
Daher empfiehlt Magento nun ausdrücklich die Verwendung der Versionen 1.9.2.3 (Community Edition, CE) beziehungsweise 1.14.2.3 (Enterprise Edition, EE). Die Versionen vorher sind von den Lücken betroffen.
Die anderen Sicherheitslücken, die durch SUPEE-7405 mitgeschlossen werden, sind zwar weniger drastisch, verdienen aber ebenso Aufmerksamkeit, damit Angreifer keine DDoS Attacken ausführen oder Userdaten einsehen können.