Sicherheitshinweise

Zusammenfassung

Während der Untersuchung eines von einem Kunden gemeldeten Falls bemerkte Fastly eine Schwachstelle (CVE-2017-13761) im Fastly CDN-Modul, das in Magento2 integriert werden soll. Diese wurde inzwischen behoben. Es handelt es dabei um Open Source Code, den Fastly freigibt, um eine einfache Integration mit den Produkten seiner Partner zu ermöglichen. Alle Versionen vor 1.2.26 sind betroffen und Kunden werden gebeten, ein Upgrade durchzuführen.

Fastly hat sich direkt an die Kunden gewandt, die derzeit betroffene Versionen des Moduls verwenden.

Auswirkungen

Diese Schwachstelle, die in allen Versionen des Moduls vor Version 1.2.26 vorhanden war, führte dazu, dass Umleitungsrückmeldungen für einige Sekunden zwischengespeichert wurden. Ein Sitzungsleck kann in bestimmten Fällen auftreten, wenn ein Authentifizierungs-Plugin eines Drittanbieters verwendet wird, z. B. OAuth, das auf Umleitungen anstelle von POST-Anfragen setzt.
Die Schwachstelle könnte daher dazu führen, dass Informationen aus einer authentifizierten Sitzung zu einem anderen authentifizierten Nutzer durchsickern.

Fix/Behelfslösung

Diese Schwachstelle wurde in Version 1.2.26 des Fastly CDN-Moduls behoben. Wir empfehlen Kunden, die eine ältere Version des Moduls heruntergeladen und im Einsatz haben, ein Upgrade auf Version 1.2.26 oder nachfolgende Versionen durchzuführen. Die neueste und empfohlene Version ist Version 1.2.28.

Sie können den folgenden Befehl ausführen, um festzustellen, ob Ihr Standort betroffen ist:

$ curl -H “Fastly-Debug:1” -v -o /dev/null https://www.example.com/ | grep Fastly-Magento-VCL

< Fastly-Magento-VCL-Uploaded: 1,2.20

Weitere Informationen

Dieser Schwachstelle wurde die CVE-Kennung CVE-2017-13761 zugewiesen.

Dieses Problem wurde im fastly-magento2 code repository in Angriff genommen, und die neueste Version ist unter https://github.com/fastly/fastly-magento2/releases verfügbar.