Magento: Notfall-Update beseitig schwere Sicherheitslücke (13. Feb. 2022)

Publiziert am 15. Februar 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Keine Ahnung, ob unter der Leserschaft Leute sind, die für Online-Shops verantwortlich sind, die mit der Open Source-Software Magento oder der Adobe Commerce-Lösung betrieben werden. Adobe hat zum 13. Februar 2022 ein außerplanmäßiges Sonderupdate veröffentlicht, um die bereits ausgenutzte Schwachstelle CVE-2022-24086 in den Produkten zu beseitigen. Über diese Schwachstelle wurden Ende Januar 2022 bereits zahlreiche Online-Shops, die die Open Source-Software Magento oder Adobe Commerce einsetzen, gehackt. Die Angreifer nutzten die Schwachstelle, um Malware in den Shop-Systemen zu injizieren. Ergänzung: Es gibt einen weiteren Notfall-Patch vom 17.2.2022 zum Schließen der Schwachstellen.

Anzeige

Magento-Schwachstelle CVE-2022-24086

Die nachfolgenden Tweets weisen auf die Schwachstelle und deren Folgen für die Betreiber von Magento Online-Shops hin. Mehr Details finden sich in diesem Sansec-Artikel. Adobe kennt die Schwachstelle bereits seit dem 27. Januar 2022, hat den Patch aber erst am Sonntag, den 13. Februar 2022 veröffentlicht (der Veröffentlichungszeitpunkt ist ungewöhnlich).

Magento vulnerability CVE-2022-24086 used for hacks

Laut Sansec hat diese Sicherheitslücke einen ähnlichen Schweregrad wie die Magento Shoplift-Schwachstelle aus dem Jahr 2015. Damals wurden fast alle ungepatchten Magento-Shops weltweit in den Tagen nach der Veröffentlichung des Exploits kompromittiert. Shop-Betreiber sollten daher sofort Maßnahmen zur Beseitigung der Schwachstelle betreiben.

Adobe stellt Updates bereit

Zum 13. Februar 2022 hat Adobe einen Patch für das Open Source-System Magento und sein kommerzielles Produkt Adobe Commerce veröffentlicht, um diese Schwachstelle zu schließen. In APSB22-12 schreibt Adobe dazu.

Adobe hat Sicherheitsupdates für Adobe Commerce und Magento Open Source veröffentlicht. Diese Updates beheben eine als kritisch eingestufte Sicherheitslücke. Bei erfolgreicher Ausnutzung kann beliebiger Code ausgeführt werden.

Adobe ist bekannt, dass die Sicherheitslücke CVE-2022-24086 in sehr begrenztem Umfang bei Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.

Zur Schwachstelle heißt es, dass eine inkorrekte Validierung der Eingabedaten vorgenommen wird. Dies ermöglicht eine unauthentifizierte Remotecodeausführung (RCE) .Betroffen sind laut Adobe folgende Magento-Versionen:

Product Version Platform
Adobe Commerce 2.4.3-p1 and earlier versions
2.3.7-p2 and earlier versions		 All
Magento Open Source 2.4.3-p1 and earlier versions
2.3.7-p2 and earlier versions		 All

In diesem Sansec-Bericht heißt es, dass Magento 2.3.3 oder niedriger nicht direkt verwundbar sei. Sansec empfiehlt dennoch, den angegebenen Patch manuell zu implementieren. Die Updates werden über nachfolgende Links bereitgestellt (siehe auch die Readme zu APSB22-12).

Die ZIP-Archive sind zu entpacken und dann gemäß dieser Adobe-Anleitung zu installieren. (via, via, via)

Ergänzung: Es gibt einen weiteren Notfall-Patch vom 17.2.2022 zum Schließen der Schwachstellen. Infos finden sich in diesem Artikel der Kollegen von heise.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.