Qualche giorno fa tutti i canali di comunicazione a tema Magento sono stati invasi, giustamente, dalla segnalazione di disponibilità di bugfix per una vulnerabilità grave presente in tutte le versioni di Magento CE dalla 1.4 alla 1.9.
La vulnerabilità consiste in effetti in una serie di bug che permetto ad un eventuale attaccante non autenticato di eseguire codice PHP arbitrario sul server che ospita l’installazione Magento. Questo tipo di vulnerabilità è chiamata RCE, Remote Code Execution, ed è molto grave perché molto spesso, e anche nel caso particolare di Magento, permette di scavalcare tutti i sistemi di sicurezza e prendere il controllo completo del database, con evidente pericolo che i dati siano rubati o modificati.
I primi a scovare questa falla nel core di Magento sono stati i ricercatori di Check Point che hanno pubblicato un post in cui hanno spiegato, oltre ai dettagli della falla in questione, di aver contattato privatamente eBay e atteso che mettesse a disposizione una patch prima di rendere pubblica la notizia.
Noi stiamo effettuando gli ultimi interventi tra i nostri clienti, e voi avete già applicato le patch al vostro store Magento? Se vi serve supporto non esitate a scriverci, saremo lieti di mettere a disposizione il nostro servizio di assistenza!
Dettagli tecnici
Il post del blog ufficiale Magento in cui si annuncia la disponibilità delle patch si trova a questa pagina, mentre i file con i bugfix veri e propri potete scaricarli direttamente dalla pagina di download delle patch scorrendo in basso fino alla voce “Magento Community Edition Patches” e da li selezionando dal menù a tendina i file della patch SUPEE-5344 per la vostra versione di Magento.
E’ stata messa a disposizione anche una pagina per effettuare il test di vulnerabilità del vostro negozio online, la potete trovare cliccando qui.
Inoltre vi segnaliamo l’interessante video realizzato sempre da Check Point in cui si vede un esempio di modifica del database con un semplice script Python che permette ad un attaccante di crearsi i coupon che vuole e usarli per comprare qualsiasi cosa:
Non perdete tempo mettete in sicurezza i vostri e-commerce Magento.
Trackback/Pingback