Magento hat gestern, am 05.07.2012, bekannt gegeben, dass ein Sicherheitsrisiko im Zend-Framework besteht, das jedoch leicht gepatcht werden kann.
Das Problem:
Die potentielle Schwachstelle erlaubt einem Angreifer jede Datei auf dem Server zu lesen, bei der Zend XMLRPC aktiviert ist. Dies beinhaltet auch Passwort- und Konfigurationsdateien, sowie die Datenbanken, sofern sie auf dem selben Rechner liegen.
Die Lösung:
Für die Magento Enterprise und Professional Edition liegt ein Patch zum Download in ihrem Kundenkonto bereit.
Für die kostenfreie Community Edition gehen Sie wie folgt vor:
Für die Versionen 1.4.0.0 bis 1.4.1.1 finden Sie den Patch Hier.
Für die Version 1.4.2.0 gelangen Sie Hier zum gewünschtem Patch.
Und für die Versionen 1.5.0.0 - 1.7.0.1 klicken Sie Hier.
Workaround:
Wenn der Patch nicht gleich angewendet werden kann, so können Sie auf diesem Wege die RPC-Funktionalität temporär ausschalten. Durch diese Methode werden alle Funktionen, die auf die XMLRPC API angewiesen sind, somit nicht weiter funktionieren.
- Loggen Sie sich auf dem Magento-Server ein
- Wechseln Sie in /app/code/core/Mage/Api/controllers
- Öffnen Sie die Datei XmlrpcController.php
- Löschen oder kommentieren Sie den Body der Methode public indexAction() aus
- Speichern, das war´s
Wenn Sie Erfahrungen in Sachen IDS haben so überwachen Sie das RPC-Interface auf mögliche Angriffe.
Die nächsten Releases von Magento werden den Patch beinhalten.