Bunt gemischt: Programmierung, Blockchain, News, Problemlösungen

XMLRPC: Schwerwiegende Sicherheitslücke in allen Magentos

Wer sich gestern oder heute in sein Magento Backend eingeloggt hat, hat direkt eine Nachricht zu sehen bekommen, dass eine schwere Sicherheitslücke gefunden wurde, die geschlossen werden muss. Eigentlich liegt diese Sicherheitslücke nicht in Magento, sondern im Zend Framework, welches Magento benutzt. Es ist aber gut, dass man da trotzdem drauf hingewiesen wird, denn über diese Lücke ist es bei gewissen Serverkonfigurationen möglich, absolut jede Datei auf dem Server auszulesen (auch /etc/passwd und ähnlich sensible Files).

Dagegen schützen kann man sich, in dem man das XMLRPC von Magento patcht, sagt die hauseigene Quelle. Was sie nicht sagt, wie man den Patch durchführt.

Ihr braucht dafür einen SSH-Zugang zu eurem Server. Loggt euch ein und wechselt in das Verzeichnis, in dem euer Magento installiert ist. Dort befindet sich dann auch ein "lib"-Verzeichnis.
Führt nun je nach eurer Magentoversion folgendes aus:
Community Edition 1.4.0.0 bis 1.4.1.1
1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.0.0-1.4.1.1.patch
2. patch -p0 -i CE_1.4.0.0-1.4.1.1.patch

Community Edition 1.4.2.0
1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.2.0.patch
2. patch -p0 -i CE_1.4.2.0.patch

Community Edition 1.5.0.0 bis 1.7.0.1
1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.5.0.0-1.7.0.1.patch
2. patch -p0 -i CE_1.5.0.0-1.7.0.1.patch


Wenn alles geklappt hat, erhaltet ihr als Ausgabe die Auflistung zweier Dateien im lib-Verzeichnis. Das wars, ihr habts geschafft!
Anschließend könnt ihr die patch-Datei wieder löschen.

Es ist auch möglich, XMLRPC in Magentos Zend komplett zu deaktivieren, dazu habe ich eine schöne Anregung bei den Webguys gefunden.

Noch keine Kommentare

Kommentar schreiben

Pavatar, Gravatar, Favatar, Gravatar, Pavatar Autoren-Bilder werden unterstützt.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt