Loch in Magento seit Monaten ungestopft

Das populäre Online-Shopsystem Magento ist wegen Sicherheitslecks schon mehrfach aufgefallen. Nun soll eine seit fünf Monaten bekannte Lücke nicht gestopft sein, über die sich beliebiger Code ausführen lässt. Der Hersteller habe das Loch zwar bestätigt, aber nicht beseitigt, schreibt 'Heise'.
 
Der Angriff nutze das Hinzufügen eines Vimeo-Videos zu einem Produkteintrag. Dabei wird ein Preview-Bild heruntergeladen. Handelt es sich um eine ungültige Datei, bindet das System sie zwar nicht ein, löscht sie aber auch nicht vom Server. Kann ein Angreifer die Anfrage nach dem Preview-Bild auf eine andere URL umleiten, lässt sich auf diesem Weg eigener Code auf dem Server ausführen. So wird das Problem beschrieben.
 
Obwohl Magento bereits Mitte November darüber informiert worden sei, habe der Hersteller bis jetzt nicht gehandelt, heisst es auf 'DefenseCode'. Während mit Standard-Einstellungen von Magento nur begrenzte Angriffsmöglichkeiten bestehen, werde die Situation kritisch, wenn die Shop-Betreiber die standardmässig aktive Option "Secret Key zu URLs hinzufügen" abgeschaltet habe. Das mache "Magento für Cross-Site Request Forgeries (CSRF respektive XSRF) anfällig: Angreifer können Angriffs-URLs in Websites verstecken, die dazu führen, dass gleichzeitig in Magento eingeloggte Besucher Dateien auf den Shop-Server laden, ohne davon etwas mitzubekommen", so 'Heise'.
 
Der Hersteller habe erst auf Rückfragen von Kaspersky und PCWorld reagiert und gegenüber Kaspersky geantwortet, es seien bisher keine Angriffe über diese Lücke bekannt, man werde das Problem aber mit dem nächsten Patch beseitigen. Einen Zeitplan für diesen Patch nannte Magento allerdings nicht, so der Bericht weiter.
 
Mit dem kostenlosen Dienst 'MageReport' kann man überprüfen, ob ein Shop-System bekannte Sicherheitslücken aufweist. (vri)