Das Magento Sicherheitsupdate SUPEE-6285 und seine Folgen

Das Magento Sicherheitsupdate SUPEE-6285 und seine Folgen

Das neueste Magento Sicherheitsupdate SUPEE-6285 hat es in sich – und zwar in mehrfacher Hinsicht. Zum einen enthält es ganze acht Patches und sorgt so gleich an mehreren Schwachstellen für Sicherheit. Und zum anderen hat es für viele Entwickler eine, anfangs sogar zwei böse Überraschungen im Gepäck. Magento musste nachbessern und hat inzwischen eine zweite Version von SUPEE-6285 veröffentlicht. Aber in vielen Shops besteht nach der Installation des Updates weiterhin Handlungsbedarf. Wir fassen zusammen, was genau passiert ist und was zu tun ist.

Was SUPEE-6285 beinhaltet

Nachdem am 26.06.2015 einmal mehr eine größere Schwachstelle bekannt wurde, arbeitete Magento unter hohem Druck an einer Lösung des Problems. Denn einmal mehr sahen sich Shopbetreiber in aller Welt der akuten Gefahr ausgesetzt, zur Zielscheibe von Hackerangriffen zu werden. Das Ergebnis war ein aus insgesamt acht Patches bestehendes Sicherheitsupdate: SUPEE-6285. Das Herzstück dieses wichtigen Bausteins für die Magento Sicherheitsarchitektur ist eine Änderung, die den unbefugten Admin-Login unmöglich machen soll. SUPEE-6285 verhindert, dass sich Angreifer als Administrator anmelden können und auf diese Weise Zugriff auf sensible Informationen wie Bestelldaten und persönliche Daten der Kunden bekommen. Hierzu gleich mehr. Außerdem schließt das Update eine ganze Reihe weiterer Sicherheitslücken, die im Zusammenhang mit Cross-Site Scripting (XSS) in unterschiedlichen Bereichen des Systems, Cross-Site Request Forgery (CSRF) und dem Offenlegen von Fehlerpfaden aufgetaucht sind.

Worin die Probleme nach dem Update bestanden

Nach der Installation von SUPEE-6285 waren viele Entwickler mit neuen Problemen konfrontiert. Manche sogar mit mehreren gleichzeitig.

1. Problem: Responsive-Theme zunächst nicht berücksichtigt

Das kleinere Problem konnte Magento in einer zweiten Version des Patches schnell beheben. In der ersten veröffentlichten Version von SUPEE-6285 hatte Magento es nämlich versäumt, das hauseigene, seit Magento CE 1.9.1.0 zur Standardausstattung gehörende Responsive-Theme zu patchen. Das war so ungeschickt wie unnötig, ließ sich aber durch eine kleine Änderung schnell wieder beheben. Ein Problem hatten damit also nur diejenigen Entwickler, die das Update schon vor Bekanntwerden dieses peinlichen Flüchtigkeitsfehlers eingespielt hatten. Sie mussten die erste Version wieder entfernen und dafür die zweite, verbesserte installieren. Für Nutzer von Versionierungssoftware ein Spaziergang. Und für Shops, die das responsive Magento Default-Theme nicht einsetzen, war diese Angelegenheit technisch gesehen ohnehin nicht weiter von Interesse.

2. Problem: “Access Denied” für Drittanbieter-Extensions

Das zweite Problem mit SUPEE-6285 fällt da schon folgenschwerer aus. Sehr viele von Drittanbietern bereitgestellte Extensions kamen mit dem nunmehr restriktiveren Berechtigungs-Management in Magento nach dem Update nicht mehr zurecht. Das hieß zunächst, dass die Admin-Controller zahlreicher Erweiterungen von Hand angepasst werden mussten, damit sie nicht mehr blockiert werden, zu “Access Denied”-Meldungen im Backend führen und Funktionalitäten vermissen lassen. Das Problem und der Lösungsansatz sind hier im Detail beschrieben. Mittlerweile haben viele Hersteller von Magento Extensions auf die Veränderung reagiert und für ihre Module entsprechende Aktualisierungen bereitgestellt. Aber nach dem Patchen eines Shops mit SUPEE-6285 muss nach wie vor sehr genau überprüft werden, ob alle integrierten Extensions noch funktionieren.

Was zu tun ist

Folgeprobleme hin oder her: das Sicherheitsupdate SUPEE-6285 muss unbedingt installiert werden. Zu groß ist das aus den mittlerweile bekannt gewordenen Sicherheitslücken resultierende Gefahrenpotential. Während das Problem mit dem nicht berücksichtigten Responsive Theme in der Version 2 von SUPEE-6285 mittlerweile behoben ist, bleibt die “Access Denied”-Problematik im Zusammenhang mit zahlreichen Extensions bestehen. Nach der Installation des Updates müssen sämtliche Erweiterungen von Drittanbietern auf Kompatibilität mit den Änderungen überprüft werden. Dann müssen gegebenenfalls entsprechende Aktualisierungen für nicht-kompatible Extensions nachinstalliert werden, beziehungsweise von Hand Änderungen vorgenommen werden. Danach sollte das System wieder reibungslos funktionieren – und zwar sicherer als je zuvor.

Oder gleich auf Magento CE 1.9.2 upgraden

Eine Alternative zur Installation des Sicherheitsupdates ist das Upgrade auf Magento Community Edition 1.9.2. Darin sind neben den Sicherheitspatches SUPEE-5344, SUPEE-5994 und SUPEE-6285 zahlreiche weitere Verbesserungen, Aktualisierungen und Neuerungen wie eine umfangreiche Testing-Funktionalität enthalten. Mehr darüber ist in unserem Blog-Beitrag zu Magento 1.9.2 zu lesen!

UPDATE (05.08.2015): Security-Patch SUPEE-6482 und Magento CE 1.9.2.1 veröffentlicht

Und schon wieder muss Magento ein Patch nachlegen. Mit SUPEE-6482 werden laut Magento 4 neu entdeckte Sicherheitsprobleme mit APIs und Cross-Site-Scripting gelöst. Zwar wurden bislang keine Angriffe im Zusammenhang mit diesen Schwachstellen registriert, aber da das Patch nun veröffentlicht ist, haben Hacker potentiell die Möglichkeit, die kritischen Punkte zu identifizieren und ungepatchte Shops genau dort zu attackieren. Zeitgleich ist Magento Community Edition 1.9.2.1 erschienen, worin SUPEE-6482 bereits enthalten ist.

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.