Magento hat gestern, am 05.07.2012, bekannt gegeben, dass ein Sicherheitsrisiko im Zend-Framework besteht, das jedoch leicht gepatcht werden kann.

Das Problem:

Die potentielle Schwachstelle erlaubt einem Angreifer jede Datei auf dem Server zu lesen, bei der Zend XMLRPC aktiviert ist. Dies beinhaltet auch Passwort- und Konfigurationsdateien, sowie die Datenbanken, sofern sie auf dem selben Rechner liegen.

Die Lösung:

Für die Magento Enterprise und Professional Edition liegt ein Patch zum Download in ihrem Kundenkonto bereit.

Für die kostenfreie Community Edition gehen Sie wie folgt vor:

Für die Versionen 1.4.0.0 bis 1.4.1.1 finden Sie den Patch Hier.

Für die Version 1.4.2.0 gelangen Sie Hier zum gewünschtem Patch.

Und für die Versionen 1.5.0.0 - 1.7.0.1 klicken Sie Hier.

Workaround:
Wenn der Patch nicht gleich angewendet werden kann, so können Sie auf diesem Wege die RPC-Funktionalität temporär ausschalten. Durch diese Methode werden alle Funktionen, die auf die XMLRPC API angewiesen sind, somit nicht weiter funktionieren.

  1. Loggen Sie sich auf dem Magento-Server ein
  2. Wechseln Sie in /app/code/core/Mage/Api/controllers
  3. Öffnen Sie die Datei XmlrpcController.php
  4. Löschen oder kommentieren Sie den Body der Methode public indexAction() aus
  5. Speichern, das war´s

Wenn Sie Erfahrungen in Sachen IDS haben so überwachen Sie das RPC-Interface auf mögliche Angriffe.

Die nächsten Releases von Magento werden den Patch beinhalten.