Magento Security Update SUPEE-9767

Geschreven door Ray Bogman.

security releaseOnlangs zijn er 16 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-9767. De lekken zijn aanwezig in alle versies van Magento t/m 1.9/x, dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar vanaf 1.5 en hoger, maar het betreft hier een issue dat impact heeft op alle versies.

Wat zijn de 16 lekken van SUPEE-9767?

  • APPSEC-1281 - Remote code execution through symlinks
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1777 - Remote Code Execution in DataFlow
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1686 - Remote Code Execution in the Admin panel
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1320 - SQL injection in Visual Merchandiser (Enterprise Edition)
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1634 - XSS in data fields
    • CVSSv3 Severity: 8.7 (High)
  • APPSEC-1759 - XSS in Admin panel configuration
    • CVSSv3 Severity: 8.1 (High)
  • APPSEC-1549 - CSRF after logout - form key not invalidated
    • CVSSv3 Severity: 8.0 (High)
  • APPSEC-1693 - Bypassing ACLs in store configuration permissions
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1677 - Local File Disclosure for admin users with access to dataflow
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1546 - CSRF Vulnerability in Checkout feature
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1597 - Potential for user name enumeration
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-1695: CSRF cache management
    • CVSSv3 Severity: 4.7 (Medium)
  • APPSEC-1324 - Customer passwords exposed in logs
    • CVSSv3 Severity: 4.4 (Medium)
  • APPSEC-1675 - Cross-site Request Forgery Vulnerability in Enterprise Edition (EE) Invites
    • CVSSv3 Severity: 3.4 (Medium)
  • APPSEC-1659 - Vulnerabilities in JavaScript libraries
    • CVSSv3 Severity: 0.0 (Low)
  • APPSEC-1622 - Incorrect routing of requests
    • CVSSv3 Severity: 0.0 (Low)

Belangrijk!
Gebruik de CE 1.9.3.3/ EE 1.14.3.3 of nieuwer voor alle nieuwe CE/EE installaties en upgrades om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.
Men kan op het moment nog niet naar deze versie updaten via Magento Connect Manager. Dit zal echter wel snel opgelost worden.

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-9652 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

Magento Security Update 2.0.14 & 2.1.7

Geschreven door Ray Bogman.

security releaseOnlangs zijn er 15 veiligheidslekken in Magento 2.0.x en 2.1.x ontdekt en opgelost in een patch. De lekken zijn aanwezig in alle versies van Magento 2.0.x en 2.1.x, zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar voor de Magento 2.0 en Magento 2.1 reeks.

Wat zijn de 15 lekken van Magento 2?

  • APPSEC-1686 - Remote Code Execution in the Admin panel
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1626 - RCE in video upload
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1746 - Zend Mail vulnerability - continued
    • CVSSv3 Severity: 8.1 (High)
  • APPSEC-1559 - Possible remote code execution in email reminders
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1565 - Customer password hash exposed in admin
    • CVSSv3 Severity: 4.3 (Medium)
  • APPSEC-1752 - Stored XSS in admin panel
    • CVSSv3 Severity: 8.0 (High)
  • APPSEC-1699 - API tokens not invalidated after disabling admin user
    • CVSSv3 Severity: 6.8 (High)
  • APPSEC-1632 - Password shown in action log (EE only)
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1663 - Mass actions do not follow ACL
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1661 - UI controllers do not follow ACL
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1679 - APIs vulnerable to CSRF
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1610 - Custom admin path disclosure
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-1666 - Information leak
    • CVSSv3 Severity: 4.3 (Medium)
  • APPSEC-1659 - Vulnerabilities in JavaScript libraries
    • CVSSv3 Severity: 0.0 (Low)
  • APPSEC-1622 - Incorrect routing of requests
    • CVSSv3 Severity: 0.0 (Low)

Belangrijk!

Gebruik Magento 2.0.14 of 2.1.17 CE of EE voor alle nieuwe Community of Enterprise installaties en upgrades om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento 2 CLI of Magento 2 setup GUI is het mogelijk de Magento 2 security patch te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

Magento User Group: Magento B2B vs. OroCommerce B2B

Geschreven door Mats van de Seijp.

Magento B2B vs Orocommerce

Op 18 mei organiseert SupportDesk weer een interessante Magento User Group. Met de online B2B eCommerce markt die steeds belangrijker wordt en platformen die hier steeds sneller op inspelen, zal deze SupportDesk meetup zich richten rondom het strategisch speerpunt B2B, met name Magento B2B vs OroCommerce B2B

Welke B2B platform past nou het beste bij uw business case? tijdens deze MUG zal u onder andere antwoord krijgen op deze vraag doordat wij diep in zullen gaan op de verschillen tussen Magento Enterprise 2.2 B2B en OroCommerce B2B. Beide platforms worden onder de loep genomen, functionaliteiten zullen vergeleken worden en handige tips en tricks zullen gegeven worden om zo het perfecte platform te kiezen voor uw business.

er zal door Ray Bogman (CTO SupportDesk), met diverse voorbeelden, worden ingegaan op de volgende vraagstukken:

  • Hoe heeft de B2B eCommercemarkt zich ontwikkeld en hoe zal deze zich verder ontwikkelen?
  • Wat is Magento Enterprise 2.2 B2B nu eigenlijk?
  • Wat is OroCommerce B2B?
  • Wat is de achtergrond van de systemen?
  • Welke features zijn er nu beschikbaar op beide systemen?
  • Is er ook een Magento Community B2B oplossing?
  • Wat is de roadmap van beide systemen?

Na de meeetup zal u verbaasd zijn over wat er allemaal mogelijk is met Magento B2B en OroCommerce B2Ben een veel beter inzicht hebben over de mogelijkheden m.b.t uw eigen business. Na de presentatie zal de gelegenheid zijn voor een Q&A met Ray en een aansluitende netwerkborrel om nieuwe mensen te ontmoeten en ideëen te wisselen.

Om de meetup overzichtelijk en dynamisch te houden zijn het aantal plekken gelimiteerd. Dus wacht niet en schrijf u hier in voor de SupportDesk Magento User Group Magento B2B vs OroCommerce B2B. Tot 18 Mei om 19.00 (Pizza & Bier staan om 18:30 klaar) 

RSVP hier!

Meet Magento 2017 "MM17NL"

Geschreven door Mats van de Seijp.

mage run Meet Mageto Nederland 2017Op 10 mei wordt Meet Magento the Netherlands weer georganiseerd. De onderhand alweer 9e editie die wordt gehouden is “The place to” be als het gaat over Magento. Ook dit jaar is er weer een bomvolle ochtend-, dag-en avondprogramma met diverse thema’s en sprekers. Dit jaar kunnen we bij de sprekers onder andere bedrijven als Heineken, Philips, Bol.com en natuurlijk SupportDesk verwachten.

Meet Magento The Netherlands, 10 mei 2017 DeFabrique Utrecht.

Dit jaar zal het evenement in De Fabrique worden gehouden in Utrecht. Met plaats voor meer dan 1000 bezoekers en verschillende loodsen kan je hier perfect als Magento webwinkelier, marketeer, commerce manager of Magento liefhebber alle talks bijwonen die jou interessant lijken. De opzet van de dag is dan ook slim opgezet met drie verschillende thema’s, verdeeld over in 7 loodsen, die de rode draad van het evenement zijn. De drie thema’s die centraal zijn in deze Meet Magento editie zijn “Create Great Tech”, “Advance Your Business” en “Discover Magento”.

Alhoewel de talks ook in de ochtend beginnen is het échte ochtendprogramma eigenlijk de Mage Run. Geïnspireerd door andere Magento evenementen over de wereld, zoals Magento Imagine, wil Meet Magento the Netherlands editie ook een gezonde en frisse start aan de dag geven. In deze run, georganiseerd door Ray Bogman, kan je ervoor kiezen om de 3km en 5km run te doen en zo de dag sportief te beginnen. De Mage Run zal om 08:00 van start gaan en al je ook de dag sportief wilt beginnen, Klik dan op Mage Run om je in te schrijven voor de eerste officiële editie.

Create Great Tech

Het eerste thema van het Magento evenement. Een thema met veel technische inhoud. Vooral gericht op programmeurs, ontwikkelaars en Magento users die willen weten wat er op technisch vlak allemaal mogelijk is en mogelijk wordt binnen Magento 2. De sprekers zullen hier hun kennis delen over onder andere, Magento 2 CLI, Magento 2 accessibility, Magento 2 Customizations en GrumPHP. Binnen dit thema is SupportDesk ook actief! Ray Bogman (CTO SupportDesk) zal om 12:30 in Loods 2C gastspreker zijn. Hij zal het hebben het nieuwe product van Magento, de DevBox, en zal demonstreren hoe je een DTAP (OTAP) omgeving kan opzetten met het gebruik van Dockers en de officiële DevBox Beta van Magento.

Advance your Business

Het tweede thema is gericht op hoe Magento websites en webshops het maximale uit hun business kunnen halen. De Keynote sprekers van o.a Heineken, Philips, JMango 360, Patta zullen aantonen hoe succes kan worden geboekt op onderwerpen als Magento E-commerce, marketing, apps, mobile shopping en multichannel 2 omnichannel.

Discover Magento

Het zit al in de naam, dit thema is gericht voor iedereen die overweegt Magento te gebruiken als webwinkel software. In Loods 23 kan iedereen zich laten inspireren en informeren over de mogelijkheden die er zijn bij het gebruik van Magento Software. Er zijn speeddates, talks over de mogelijkheden van Magento en experts waar je vragen aan kan stellen. Meer informatie over de thema's, talks en tijden staan in de agenda.

Meet Magento Awards

Het avond programma is even uitgebreid als het dagprogramma met als centraal punt de Meet Magento awards. Ieder jaar worden de prestigieuze Magento awards uitgereikt. 5 prijzen binnen 5 categorieën zijn er te verdelen. De categorieën zijn; Magento Community, Magento Enterprise, Magento 2, Community project, Magento Innovation. Ray was onderdeel van de expert jury en heeft geholpen een voorselectie te maken van alle ingeleverde projecten. Hij heeft ons al laten weten dat er heel veel goede kandidaten tussen zitten. Ook zij vanaf vandaag de stembussen open! dus mocht je benieuwd zijn welke projecten er allemaal genomineerd zijn en wil je stemmen ? Klik dan hier. Verder staat er in het avondprogramma ook nog een uitgrebreid diner in de planning en een afterparty met DJ.

SupportDesk zal tijdens het hele event aanwezig zijn, inclusief met onze eigen officiële Magento Doctor Ray. De Magento Doctors lopen tijdens het evenement rond om allerlei Magento vragen te beantwoorden. Dus wil je iets weten over Magento 1, Magento 2, Magento webshops en nog veel meer Magento gerelateerde onderwerpen? Neem dan contact met ons op en dan zien wij elkaar tijdens het Meet Magento the Netherlands event.

Magento 2.1.6 is alive!

Geschreven door Ray Bogman.

magento-upgrade11 april 2017 kwam Magento met een nieuwe update voor de Community Edition en Enterprice Edition, 2.1.6. Deze update bevat belangrijke prestatie verbeteringen, met name voor handelingen die vallen binnen de Category Page en bij image resizing. Magento 2.1.6 bevat 15 aanpassingen die veel features van de 2.1.5 versie significant zullen versnellen:

Verbeterde prestaties op Caterory Page gebied

  • Het laden van configurabele producten vanuit de database gaat 5x sneller
  • Prijs calculaties gaan nu 3-5% sneller
  • Voorraad validatie gaat tot 20% sneller

Resizing image is geoptimaliseerd

  • Image resize taken, uitgevoerd vanuit de Command Line Interfaceoperations , genereren nu beelden van alle afmetingen. Bekijk Magento catalog:images:resize voor meer informatie.
  • Image resize taken vanuit de Admin is opgelost.
  • Het aantal file system taken zijn significant verminderd bij het analyseren van images bij de frontend.
  • Caching van image metadata is nu tot 50% sneller, afhankelijk van opslag ruimte (store size).

Verbeterde prestaties van Layered Navigation

  • Layered navigation is nu tot 3% sneller dankzij het cachen van attribuut opties.
  • Het aantal indexing taken dat uitgevoerd word na een product import is geminimaliseerd.

Verder heeft de update nog redelijk wat functionele verbeteringen en reparaties meegenomen.

Catalog

  • Magento vergrendelt niet langer meer de category_product_entity tabel. Door het ontgrendelen van deze tabel wordt de kans op vergrendelings-gerelateerde time-outs, die kunnen voorkomen bij het indexeren en parelle checkouts, verminderd. 
  • De storefront zal nu beelden weergeven die Magento resizes tijdens product save taken, in plaats van de afbeelding te resizen op de storefront. Eerder bevatte het image pad store_id en tijdens opslaan taken veranderde Magento de afbeeldingen voor de default_store_only.De \Magento\CatalogInventory\Model\Stock\Status\getStockId() methode geeft nu de juiste waarden weer.

Configurabele producten

  • De controle die Magento uitvoert om de bereidheid van de configureerbaar product te bevestigen is nu sneller. Magento berekent niet langer de configurable product special prices op de category pagina. Voorheen berekende Magento de speciale prijzen op de category pagina maar gaf deze niet weer.

Indexers

  • Magento voert nu een gedeeltelijke re-indexing taak uit na de import wanneer je de "update on Schedule" modus hebt ingeschakeld. Hiervoor werd dit hoe dan ook gedaan, ongeacht in welke index modus men zat.

Import

  • Magento geeft nu ingevoerde product afbeeldingen in deze volgorde weer: eerst, de basis afbeelding, dan is de extra beelden in de volgorde waarin ze in het CSV-bestand waren opgenomen. Voorheen had Magento geen duidelijk volgorde.

Diversen

  • Magento cached nu opties voor de Layered Navigatie-functie. Dit verminder het aantal vragen aan de database wat de prestatie verbetert.
  • Magento voert niet langer onnodige file check activiteiten uit (bijvoorbeeld file_exists, is_file), die de prestaties van de categorie en productpagina's verbetert.
  • Magento cached nu metadata, waardoor de tijd om foto's voor metadata te laden wordt vermeden. Dit versnelt ook de prestaties.
  • Magento toont nu een significante afname in Redis Traffic na de upgrade 2.1.2 tot en met 2.1.4.

Swatches

  • Magento creëert geen overbodige objecten meer bij het initialiseren van een configureerbare product op de categorie pagina.
  • U kunt nu swatches voor zowel de Catalogus pagina en zoekresultaten (snelle of geavanceerde) uitschakelen. Om swatches van deze verzoeken uit te schakelen, schakel uit; Winkels> Configuratie> Catalogus> Storefront> Show swatches in Product List.
  • De logica die Magento gebruikt om swatches attributen te valideren is geoptimaliseerd.
  • Magento slaat nu Swatch data op in blok cache, die de responsiviteit van de configureerbare productpagina's verbetert.

Zo te lezen heeft deze update veel verbeteringen met zich mee gebracht op het gebied van prestatieverbeteringen bij de Category page en voor Image resizing en heeft het veel praktische verbeteringen geïmplementeerd.

Wij raden onze klanten zo spoedig mogelijk te updaten.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Meer artikelen...

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens