Sicherheitslücke Magento Backend?

Wie die Zeitschrift Internet World in Ihrem Artikel schreibt, haben die Software-Entwicklter Brain Logical Software Development eine "schwere Sicherheitslücke" in der Opensource Software Magento gefunden, die es ermöglich, bestehenden Benutzern den Zugriff zum Backend-System temporär zu sperren.

Möglich soll dies durch eine ungesicherte Funktion des Passwort-Resets sein, die bei vielen Online-Shops in der Standardinstallation verwendet wird.

Dabei handelt es sich jedoch weniger um eine "schwere Sicherheitslücke" in Magento als um eine typische Funktion für den Passwort-Reset, wie sie in fast jeder CMS-/Shop-Software vorhanden ist.

Sofern ein Hacker dann auch noch an das E-Mail-Konto des Benutzers kommt, dessen Kontaktadresse sich oftmals aus dem Impressum herauslesen lässt, könnte er sich sogar erfolgreich ein Passwort anfordern, heißt es weiter im Artikel

Mehr Schutz bietet Hucke Media von Haus aus


Was von Brain Logical Software Develpment empfohlen wird, wird von Hucke Media bei jeder Installation ohnehin umgesetzt: die Standard-URL zum Backend wird individualisiert. Es ist jedoch bekannt, dass das alleinige Ändern der Backend-URL nicht das Problem lösen kann. Dieser Bug in Magento ist jedoch bekannt.

Ferner wird in dem Artikel davon abgeraten, allgemeingültige E-Mail-Adressen wie [email protected] zu verwenden. Sofern tatsächlich ein Hacker leicht Zugriff auf Mailkonten erlangen kann, sollte der Shop-Betreiber grundsätzlich an seinen Sicherheitsrichtlinien und ggf. mit seinem Provider sprechen.

Teilen: