Magento lässt Shopanbieter bei Sicherheitslücken im Regen stehen

Von: | 12. Mai 2015
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

Der IT-Sicherheitsdienstleister Check Point hat den Magento schon im Februar 2015 auf gravierende Sicherheitslücken in seiner Shop-Software hingewiesen. Diese könnten durch Hacker ausgenutzt werden, indem sie zusätzliche Benutzer mit Administratorrechten in den Magento-Shops anlegen und so Zugriff auf Kunden- und Zahlungsdaten bekommen. Rund 200.000 Shops sind von der Sicherheitslücke betroffen.

Magento reagierte auf die Hinweise, die Check Point Ende April publik machte, relativ schnell, indem Sicherheits-Patches bereitgestellt wurden. Das Problem ist nur: In der aktuellen Version der kostenlosen Community Edition, die auf der Website zum Download bereitgestellt wird, waren diese Sicherheits-Patches lange Zeit noch nicht integriert. Erst seit dem 1. Mai bietet Magento eine Download-Version an, in der die Sicherheitslücken geschlossen wurden.

Die kritischen Sicherheitslücken und das schlechte Krisenmanagement von Seiten Magentos verdeutlichen einmal mehr, dass sich Anbieter, die einen Magento-Shop in der CE-Version in Eigenregie betreiben, selbst um Informationen zu potenziellen Sicherheitslücken und deren Behebung kümmern müssen. In der Praxis dürfte das für viele Shopbetreiber kaum zu leisten sein.

Von großem Vorteil ist es da, seinen Shop von einer professionellen E-Commerce-Agentur betreuen zu lassen, die bei solchen Sicherheitslücken proaktiv handeln, sich um die Updates kümmern und die Betreiber informieren.

Autorenfoto bewegt sich seit 1997 beruflich im Internethandel, gilt als E-Commerce Experte und verfügt über große gelebte Praxiserfahrung. Er ist Autor mehrerer Fachbücher und einer Vielzahl von Fachartikeln zu allen Aspekten des Onlinegeschäfts. Heute berät und begleitet er vor allem mittelständische Unternehmen im E-Commerce.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

1 Kommentar

  1. Hallo Herr Höschl,

    es ist korrekt, dass es eine neue CE-Version erst seit dem 1. Mai gibt (Version 1.9.1.1). Bereits seit dem 22.4. existieren aber Patches, welche sämtliche Magento-Versionen (CE und EE) abdecken. Dieser Patch mit der Bezeichnung SUPEE-5344 lässt sich recht einfach in jede Shop-Installation integrieren.

    Warum eBay allerdings fast 2 Monate seit der Meldung durch Check Point verstreichen ließ, ist allerdings schleierhaft.

    Für Shopbetreiber haben wir hier einen FAQ mit allen relevanten Informationen zur Sicherheitslücke und ihrer Behebung veröffentlicht: https://www.intersales.de/blog/magento-sicherheitsluecke-shoplift-bug-noch-immer-sind-viele-shops-betroffen/

    Grüße
    Andrej Radonic, interSales AG

    Kommentar by Andrej Radonic — 19. Mai 2015 @ 07:50

RSS-Feed für Kommentare zu diesem Artikel.


Die Kommentarfunktion ist zur Zeit leider deaktiviert.