Seit ein paar Tagen geistert eine Warnung vor einem kritischen Fehler durchs Netz. Doch bis auf das man auf den Admin zugreifen kann, konnte uns keiner genauere Infos geben. Inzwischen kennen wir auch den entsprechenden Blogbeitrag.
Die einfache Kurzfassung: Navigiert man auf http://www.shop-domain.de/downloader/ sieht man die Login-Maske. Auf dieser sieht man auch den Link “Return to Magento Administration”. Klickt man diese an, landet man auf der Admin-URL.
Wo ist nun die Problematik? Die Admin-URL sollte eigentlich ein geheimer Pfad sein, und Loginversuchen und Passwort-Attacken aus dem Weg zu gehen. Der Angreifer braucht nun nur über den Downloader zu gehen und kommt automatisch an den Admin.
Ist das wirklich ein Problem? Nachdem von Magento selbst empfohlen wird die Admin-URL durch Geheimhaltung zu schützen ist das natürlich etwas peinlich. Ein wirkliches Security-Problem sieht anders aus. Im Vergleich: Bei Typo3 ist der Admin-Login immer gleich und somit angreifbar. Natürlich sollte man seine Admin-URL möglichst geheim halten, allerdings gehört noch mehr zu einem erfolgreichen Angriff als die URL der Adminoberfläche zu kennen.
Was kann man trotzdem unternehmen um das Problem aus der Welt zu schaffen? Bei dem Downloader handelt es sich auch nur um php-Code. Da in der kommenden Version dieser Link wohl entfernt wird, reicht es vorerst den Link aus dem Template zu streichen. Besser ist es allerdings seine Magento-Installation allgemein besser abzusichern. Praktische Tipps dazu erhalten Sie in den nächsten Tagen.
