Magento XMLRPC - Wichtiges Sicherheitsupdate

Für die Magento-Versionen 1.4 bis 1.7 ist gestern, am 05. Juli, ein wichtiges Sicherheitsupdate erschienen. Dieses muss bedingungslos in jeden Webshop eingespielt werden.

Das Problem liegt nicht direkt an Magento sondern im eingesetzten Zend Framework. Durch eine Lücke der Zend_RPC XML Verarbeitung können beliebige Dateien auf dem Webserver ausgelesen werden. Dazu gehört auch die local.xml mit allen enthaltenen Zugangsdaten zur Datenbank.

Magento bietet für die jeweiligen Versionen bereits Patches an:

Der Patch lässt sich mit einer Zeile über die Shell (hier Version 1.5 - 1.7) anwenden:

wget http://tinyurl.com/MAGE1702  && patch -p0 -i MAGE1702 && rm MAGE1702

Meiner Meinung nach kann der Fehler auch durch ein komplettes deaktivieren der RPC-Api mit .htaccess umgangen werden.

RedirectMatch 404 /api/xmlrpc.*

Da wir jedoch zur Zeit noch an einer Exploit Demo arbeiten konnte ich diesen Workaround noch nicht testen.

Im Anschluss sollten entweder alle Passwörter geändert werden oder alternativ, mittels Apache-Log, überprüft werden ob die Sicherheitslücke bereits benutzt wurde. Wenn ja natürlich wieder Passwörter ändern. (Hinweis kam von millejano)

Wir haben parallel ein kleines Script bereitgestellt welches den Exploit auf eurer Magento-Installation überprüft.

Update #1: Vinai Kopp postete in #magento-de gerade einen Link um alle Magento Installationen eines Webservers automatisch zu patchen.

Update #2: Die Patches funktionieren erst ab PHP 5.2.11, bei anderen Versionen wird der Fehler Call to undefined function libxml_disable_entity_loader() geworfen. (via Matthias Zeis auf Twitter)



Ein Beitrag von Tobias Vogt
Tobias's avatar

Tobias Vogt arbeitet seit 2008 mit Magento und ist seit 2011 durch Magento zertifizierter Entwickler. Beschäftigt ist er bei der code-x GmbH, einer Agentur für Internet und Marketing aus Paderborn. Er gehört zum Gründer-Team der Webguys und ist seit November 2011 Bachelor of Science (Wirtschaftsinformatik). Sie erreichen Ihn per E-Mail unter tobi@webguys.de.

Alle Beiträge von Tobias

Kommentare
Richard am

hallo, herzlichen dank für den Post und die hilfe. Allerding s habe ich eine frage kann ich den patch auch auf meiner lokalen installation installieren?

Sodass meine magento installation komplett bereit ist für den server.

vielen dank und viele grüße

Kritische Sicherheitslücke in Magento (XML-RPC-Schnittstelle) [Update] am

[...] werden. Beispiel-Befehle für das Patchen einer oder mehrerer Magento-Installationen finden Sie bei Webguys oder Vinai Kopp auf Github.Dateien manuell aktualisieren Können Sie die zwei oben genannten [...]

Magento XMLRPC Sicherheitslücke in Version 1.4 – 1.7 | dies und das am

[...] die Kollegen von den webguys habe ich auch ein Skript geschrieben, mit welchem Ihr Eure Magento Shops auf die Lücke [...]

Kritische Sicherheitslücke in Magento (XML-RPC-Schnittstelle) am

[...] werden. Beispiel-Befehle für das Patchen einer oder mehrerer Magento-Installationen finden Sie bei Webguys oder Vinai Kopp auf Github.Dateien manuell aktualisieren Können Sie die zwei oben genannten [...]

Wichtiges Sicherheitsupdate der Zend Plattform | Mag-tutorials.de am

[...] Weitere Informationen finden Sie ebenfalls auf Magelounge und bei den Webguys. [...]

Magento-Sicherheitslücke – Wichtiges Sicherheitsupdate | magelounge am

[...] Webguys wird des weiteren beschrieben, wie man da RPCXML-Modul durch einen Eintrag in der .htaccess [...]

Nudge am

Danke, Tobi, gut zu wissen. Die Lösung mit dem 404-Match ist auf jeden Fall sehr hilfreich.

Dein Kommentar