Magento hat gestern, am 05.07.2012, bekannt gegeben, dass ein Sicherheitsrisiko im Zend-Framework besteht, das jedoch leicht gepatcht werden kann.

Das Problem:

Die potentielle Schwachstelle erlaubt einem Angreifer jede Datei auf dem Server zu lesen, bei der Zend XMLRPC aktiviert ist. Dies beinhaltet auch Passwort- und Konfigurationsdateien, sowie die Datenbanken, sofern sie auf dem selben Rechner liegen.

Die Lösung:

Für die Magento Enterprise und Professional Edition liegt ein Patch zum Download in ihrem Kundenkonto bereit.

Für die kostenfreie Community Edition gehen Sie wie folgt vor:

Für die Versionen 1.4.0.0 bis 1.4.1.1 finden Sie den Patch Hier.

Für die Version 1.4.2.0 gelangen Sie Hier zum gewünschtem Patch.

Und für die Versionen 1.5.0.0 – 1.7.0.1 klicken Sie Hier.

Workaround:
Wenn der Patch nicht gleich angewendet werden kann, so können Sie auf diesem Wege die RPC-Funktionalität temporär ausschalten. Durch diese Methode werden alle Funktionen, die auf die XMLRPC API angewiesen sind, somit nicht weiter funktionieren.

1. Loggen Sie sich auf dem Magento-Server ein
2. Wechseln Sie in /app/code/core/Mage/Api/controllers
3. Öffnen Sie die Datei XmlrpcController.php
4. Löschen oder kommentieren Sie den Body der Methode public indexAction() aus
5. Speichern, das war´s

Wenn Sie Erfahrungen in Sachen IDS haben so überwachen Sie das RPC-Interface auf mögliche Angriffe.

Die nächsten Releases von Magento werden den Patch beinhalten.

Am 20.06.2012 ist das Update auf Version 1.7.0.1 von der Shopsoftware Magento in der Community Edition erschienen.

Die Neuerungen:

• Verbesserung des PayPal UserInterface im BackEnd.
• Funktionalität für verschachtelte Fieldsets in der Systemkonfiguration wurden hinzugefügt.
• Unterstützung für erweiterte und geteilte Konfigurationsfelder.
• Es wurde die Möglichkeit eingeplegt Felder von anderen Fieldsets abhängig zu gestalten.
• Und noch ein paar Bugfixes was die Sicherheit betrifft.

Der Download befindet sich auf dieser Seite.

Magento veröffentlicht Community Version CE 1.7.0.0 mit einer ganzen Reihe von neuen Verbesserungen und Features.

Zu den wichtigsten Neuerungen zählen:

• Verbesserter Layered Navigation Price-Bucket-Algorithmus (verschiedene Preisstufen für dasselbe Produkt in unterschiedlichen Größen)
• Captcha-Funktionalität hinzugefügt
• Verschiedene Basispreise für unterschiedliche Kundengruppen hinzugefügt
• Automatische Erstellung mehrerer Coupon-Codes nach Preisregel
• System-Backup- und –Rollback-Funktionalität
• Prüfung der Umsatzsteuer-Identifikationsnummer
• Unterstützung für DHL Europa
• Indexer-Refactoring
• Neugestaltetes Mobile-Theme
• XmlConnect Paket Release v22.1
• Upgrade des TinyMCE auf Version 3.4.7

Die Vorstellung der neunen Version finden sie im Magento Blog.

Alle technischen Änderungen wie immer in den Release Notes

Durch Nutzung der Klasse Varien_File_Csv benutzerdefinierte Daten von Produkten, Verkäufen etc. als CSV exportieren.

Hier geht´s zum Schnipsel