Skip to main content

Am 06.02.2017 wurde eine Sicherheitslücke für Magento bekannt. Teile des Zend Frameworks die für das Senden von Emails über das lokale Sendmail verantwortlich sind, wurden als fehlerhaft bezeichnet. Hierdurch wird das Ausführen von Remote Code ermöglicht. 

Das Sicherheitsproblem wird als kritisch bezeichnet, wenn der Shop über einen lokalen Sendmail Emails verschickt und im Shop Backend der Parameter bei Reply-To auf "Yes" gestellt ist: 

Magento 1: System-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
Magento 2: Stores-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path

Für die betroffen Shops wird das Einspielen des Sicherheitspatchs empfolen:

Enterprise Edition 1.9.0.0-1.14.3.1: SUPEE-9652 or upgrade to Enterprise Edition 1.14.3.2
Community Edition 1.5.0.1-1.9.3.1: SUPEE-9652 or upgrade to Community Edition 1.9.3.2

Für alle Magento Shops die das Magento Modul FluidWEB SMTP einsetzen und Emails direkt über den SMTP Server schicken, ist das Sicherheitsrisiko nicht kritisch.
Der Patch kann in diesem Fall in dem nächsten Wartungsfenster eingespielt werden.

Lesen Sie hierzu auch den Beitrag: Magento Sicherheits-Patch einspielen.

TAGS

Persönlich für Sie da

fluidweb GmbH
Schildarpstr. 10
48712 Gescher

Tel.: 02542-202029-0

Montag-Freitag: 09:00 - 17:00 Uhr
Support per Email Ticket

 

 

fluidweb ist meet magento partner

2003 - 2018 © fluidweb GmbH | Magento Agentur aus Gescher (NRW) Münsterland