XMLRPC: Schwerwiegende Sicherheitslücke in allen Magentos

nospam@example.com (Sebastian) — Fri, 06 Jul 2012 08:50:00 +0000

Wer sich gestern oder heute in sein Magento Backend eingeloggt hat, hat direkt eine Nachricht zu sehen bekommen, dass eine schwere Sicherheitslücke gefunden wurde, die geschlossen werden muss. Eigentlich liegt diese Sicherheitslücke nicht in Magento, sondern im Zend Framework, welches Magento benutzt. Es ist aber gut, dass man da trotzdem drauf hingewiesen wird, denn über diese Lücke ist es bei gewissen Serverkonfigurationen möglich, absolut jede Datei auf dem Server auszulesen (auch /etc/passwd und ähnlich sensible Files).

Dagegen schützen kann man sich, in dem man das XMLRPC von Magento patcht, sagt die hauseigene Quelle. Was sie nicht sagt, wie man den Patch durchführt.

Ihr braucht dafür einen SSH-Zugang zu eurem Server. Loggt euch ein und wechselt in das Verzeichnis, in dem euer Magento installiert ist. Dort befindet sich dann auch ein "lib"-Verzeichnis.
Führt nun je nach eurer Magentoversion folgendes aus:
Community Edition 1.4.0.0 bis 1.4.1.1

1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.0.0-1.4.1.1.patch
2. patch -p0 -i CE_1.4.0.0-1.4.1.1.patch

Community Edition 1.4.2.0

1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.4.2.0.patch
2. patch -p0 -i CE_1.4.2.0.patch

Community Edition 1.5.0.0 bis 1.7.0.1

1. wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.5.0.0-1.7.0.1.patch
2. patch -p0 -i CE_1.5.0.0-1.7.0.1.patch

Wenn alles geklappt hat, erhaltet ihr als Ausgabe die Auflistung zweier Dateien im lib-Verzeichnis. Das wars, ihr habts geschafft!
Anschließend könnt ihr die patch-Datei wieder löschen.

Es ist auch möglich, XMLRPC in Magentos Zend komplett zu deaktivieren, dazu habe ich eine schöne Anregung bei den Webguys gefunden.

Besuchermag.net - Hilfe bei PC-Problemen, Bugs, Fehlern und mehr - Magento

XMLRPC: Schwerwiegende Sicherheitslücke in allen Magentos