{"id":262599,"date":"2022-02-15T08:31:35","date_gmt":"2022-02-15T07:31:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262599"},"modified":"2024-06-12T23:55:04","modified_gmt":"2024-06-12T21:55:04","slug":"magento-notfall-update-beseitig-schwere-sicherheitslcke-13-feb-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/15\/magento-notfall-update-beseitig-schwere-sicherheitslcke-13-feb-2022\/","title":{"rendered":"Magento: Notfall-Update beseitig schwere Sicherheitslücke (13. Feb. 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Keine Ahnung, ob unter der Leserschaft Leute sind, die f\u00fcr Online-Shops verantwortlich sind, die mit der Open Source-Software Magento oder der Adobe Commerce-L\u00f6sung betrieben werden. Adobe hat zum 13. Februar 2022 ein au\u00dferplanm\u00e4\u00dfiges Sonderupdate ver\u00f6ffentlicht, um die bereits ausgenutzte Schwachstelle CVE-2022-24086 in den Produkten zu beseitigen. \u00dcber diese Schwachstelle wurden Ende Januar 2022 bereits zahlreiche Online-Shops, die die Open Source-Software Magento oder Adobe Commerce einsetzen, gehackt. Die Angreifer nutzten die Schwachstelle, um Malware in den Shop-Systemen zu injizieren. Erg\u00e4nzung:<\/strong> Es gibt einen weiteren Notfall-Patch vom 17.2.2022 zum Schlie\u00dfen der Schwachstellen.<\/p>\n

<\/p>\n

Magento-Schwachstelle CVE-2022-24086<\/h2>\n

\"\"Die nachfolgenden Tweets<\/a> weisen auf die Schwachstelle und deren Folgen f\u00fcr die Betreiber von Magento Online-Shops hin. Mehr Details finden sich in diesem Sansec-Artikel<\/a>. Adobe kennt die Schwachstelle bereits seit dem 27. Januar 2022, hat den Patch aber erst am Sonntag, den 13. Februar 2022 ver\u00f6ffentlicht (der Ver\u00f6ffentlichungszeitpunkt ist ungew\u00f6hnlich).<\/p>\n

\"Magento<\/a><\/p>\n

Laut Sansec hat diese Sicherheitsl\u00fccke einen \u00e4hnlichen Schweregrad wie die Magento Shoplift-Schwachstelle aus dem Jahr 2015. Damals wurden fast alle ungepatchten Magento-Shops weltweit in den Tagen nach der Ver\u00f6ffentlichung des Exploits kompromittiert. Shop-Betreiber sollten daher sofort Ma\u00dfnahmen zur Beseitigung der Schwachstelle betreiben.<\/p>\n

Adobe stellt Updates bereit<\/h2>\n

Zum 13. Februar 2022 hat Adobe einen Patch f\u00fcr das Open Source-System Magento und sein kommerzielles Produkt Adobe Commerce ver\u00f6ffentlicht, um diese Schwachstelle zu schlie\u00dfen. In APSB22-12<\/a> schreibt Adobe dazu.<\/p>\n

Adobe hat Sicherheitsupdates f\u00fcr Adobe Commerce und Magento Open Source ver\u00f6ffentlicht. Diese Updates beheben eine als kritisch eingestufte Sicherheitsl\u00fccke.\u202fBei erfolgreicher Ausnutzung kann beliebiger Code ausgef\u00fchrt werden.<\/p>\n

Adobe ist bekannt, dass die Sicherheitsl\u00fccke CVE-2022-24086 in sehr begrenztem Umfang bei Angriffen auf Adobe Commerce-H\u00e4ndler ausgenutzt wurde.<\/p><\/blockquote>\n

Zur Schwachstelle hei\u00dft es, dass eine inkorrekte Validierung der Eingabedaten vorgenommen wird. Dies erm\u00f6glicht eine unauthentifizierte Remotecodeausf\u00fchrung (RCE) .Betroffen sind laut Adobe folgende Magento-Versionen:<\/p>\n\n\n\n\n\n
Product<\/b><\/td>\nVersion<\/b><\/td>\nPlatform<\/b><\/td>\n<\/tr>\n
Adobe Commerce<\/td>\n2.4.3-p1\u202fand earlier versions
\n2.3.7-p2\u202fand earlier versions<\/td>\n		All<\/td>\n<\/tr>\n
Magento Open Source<\/td>\n2.4.3-p1 and earlier versions
\n2.3.7-p2 and earlier versions<\/td>\n		All<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

In diesem Sansec-Bericht<\/a> hei\u00dft es, dass Magento 2.3.3 oder niedriger nicht direkt verwundbar sei. Sansec empfiehlt dennoch, den angegebenen Patch manuell zu implementieren. Die Updates werden \u00fcber nachfolgende Links bereitgestellt (siehe auch die Readme<\/a> zu APSB22-12<\/a>).<\/p>\n