Magento Security Patch SUPEE-6788

Magento Security Patch SUPEE-6788

Mit einwöchiger Verspätung hat Magento nun den angekündigten Sicherheitspatch SUPEE-6788 veröffentlicht. Zugleich erschienen sind die neuen Magento Versionen Enterprise Edition 1.14.2.2 und Community Edition 1.9.2.2, in denen dieser neue und alle bisherigen Sicherheitspatches bereits enthalten sind. Was ist bei der Installation zu beachten? Wir fassen die wichtigsten Fakten zusammen.

Warum schon wieder ein Sicherheitspatch?

Laut Magento sind schon wieder ganze 10 neue Security Issues entdeckt worden, durch die teilweise Codeschnipsel eingeschleust werden oder Informationslecks entstehen können. Magento betont dabei erneut, dass kein Zusammenhang zu den jüngsten Malware Attacken („Guruincsite“) besteht. Für diese Angriffe, von denen tausende Shops und deren Besucher betroffen waren, sind augenscheinlich ungepatchte ältere Sicherheitslücken genutzt worden. Mit dem neuen Sicherheitsupdate SUPEE-6788 hingegen will Magento einmal mehr den Hackern zuvorkommen und die Sicherheitslücken schließen, bevor sie von anderer Seite entdeckt werden. Es ist aber davon auszugehen, dass der Code des Updates auch diesmal wieder von findigen Experten für das Knacken von Magento Shops genau unter die Lupe genommen wird – und womöglich schon bald neue Angriffswellen zu verzeichnen sein werden, wenn Hacker versuchen in Shops einzudringen, die den Patch SUPEE-6788 noch nicht installiert haben. Dass die von Magento entdeckten Schwachstellen bislang nicht genutzt worden sind, ist also keineswegs ein Grund, sie auf die leichte Schulter zu nehmen. Schon bald wird versucht werden, sie in ungepatchten Shops zu nutzen. Und es wird auch wieder gelingen.

Warum die Verspätung – gab es ein Problem?

Eigentlich sollte SUPEE-6788 bereits in der vergangenen Woche erscheinen. Aber dann gab Magento dem Ökosystem noch einmal ein paar Tage Zeit zum Durchatmen. Es gab nämlich nicht nur ein, sondern gleich eine ganze Reihe von potentiellen Problemen. Denn Anpassungen an Shops und eine große Zahl von Extensions (nach der Liste von Coding Basics sind mindestens 790 Erweiterungen betroffen) können zu Kompatibilitätsproblemen führen. Daher hat Magento das Release des Patches verschoben, um gleichzeitig darauf hinzuweisen, dass Hersteller von Extensions und Magento Entwickler nun binnen weniger Tage ihre Module auf Kompatibilität mit SUPEE-6788 überprüfen sollen – und gegebenenfalls nachbessern müssen. (Auf StackExchange findet sich eine Anleitung dazu, wie man Extensions überprüfen kann.) Seit heute aber gilt es: die Tage sind um, der Patch ist veröffentlicht und muss umgehend installiert werden.

Was nun zu tun ist

SUPEE-6788 kann nur dann zuverlässig funktionieren, wenn zuvor alle bis dato erhältlichen Sicherheitsupdates implementiert worden sind. Erst dann kann auch der neue Patch installiert werden – und damit er aufgrund der beschriebenen Kompatibilitäts-Problematik nicht gleich tausende Shops lahmlegt, bleibt der enthaltene Fix bei der Installation zunächst deaktiviert. So haben Entwickler noch die Gelegenheit, notwendige Anpassungen vorzunehmen. In den meisten Fällen, wird man so einige Extensions updaten müssen. Es ist aber ausdrücklich zu empfehlen, alle Magento Shops und ihre Extensions sehr schnell fit zu machen für SUPEE-6788 (siehe oben), so dass der Patch auch wirklich aktiviert werden kann. Inzwischen hat Magento auch technische Details dazu veröffentlicht.

Eine Alternative ist ein Upgrade des Shops auf die gleichzeitig mit SUPEE-6788 erschienene Version Enterprise Edition 1.14.2.2 beziehungsweise Community Edition 1.9.2.2. Darin sind alle bisherigen und der aktuelle Patch bereits enthalten. Die möglichen Inkompatibilitäten können dabei natürlich ebenso auftreten. Aber wie aufwendig und nervig Updates und Upgrades auch immer ausfallen: besser als in dem Ärger, den ein Hackerangriff mit Malware und Datenleck im Shop nach sich zieht, sind Zeit und Geld hier allemal angelegt.

Heruntergeladen können das Upgrade und alle Security Patches für Magento Community Edition hier.

Wenn Sie professionelle Hilfe und Unterstützung bei der Implementierung des Security-Patch benötigen, kontaktieren Sie uns.

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.