Nieuwe security updates Magento 1 en 2 uitgebracht

Geschreven door Mats van de Seijp.

Magento 1 Security Patch (SUPEE-10752 / 1.9.3.9 + 1.14.3.9)

magento-upgradeMagento heeft op 27 juni een nieuwe patch vrijgegeven, SUPEE-10752. Deze patch biedt een oplossing voor meerdere kritieke beveiligingsproblemen en omvatten de uitvoering van externe code, cross-site scripting en CSRF (Cross-Site Request Forgery). We raden u aan om uw Magento-winkel naar deze nieuwste versie te upgraden. Daarnaast bevat deze patch genaamd Magento Commerce 1.14.3.9 and Open Source 1.9.3.9 een aantal verbeteringen.

Problemen en verbeteringen:

  • Magento voert niet langer onnodige schrijfbewerkingen uit in de tabel core_url_rewrite.
  • Klanten kunnen zich nu succesvol registreren tijdens het afrekenen zonder onverwacht uitgelogd te worden.
  • Een onjuiste ‘escape’ in het cron.sh-bestand voorkomt niet langer meer dat ‘cron-taken’ parallel lopen zoals verwacht.
  • Nadat een klant zich heeft afgemeld schoont Magento nu de sessiegegevens op zoals verwacht

De 24 lekken van SUPEE-10752:

  • APPSEC-2001: Authenticated Remote Code Execution (RCE) using custom layout XML
  • APPSEC-2015: Authenticated Remote Code Execution (RCE) through the Create New Order feature (Commerce only)
  • APPSEC-2042: PHP Object Injection and RCE in the Magento admin panel (Commerce Target Rule module)
  • APPSEC-2029: PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • APPSEC-2007: Authenticated SQL Injection when saving a category
  • APPSEC-2027: CSRF is possible against Web sites, Stores, and Store Views
  • APPSEC-1882: The cron.php file can leak database credentials
  • APPSEC-2006: Stored cross-site scripting (XSS) through the Enterprise Logging extension
  • APPSEC-2005: Persistent Cross-Site Scripting (XSS) injection in Configuration table
  • APPSEC-1880: Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • APPSEC-2004: Cross-Site Scripting (XSS) through Remote File Inclusion
  • APPSEC-1988: Path traversal vulnerability in templates
  • APPSEC-1987: Reflective cross-site scripting (XSS) through filter manipulation
  • APPSEC-2034: XSS in Admin Create Order Configure Product Via Compatible File Extensions
  • APPSEC-1876: Cross-site scripting (XSS) in Admin Bundle Product Bundle Items Tab through Product SKU
  • APPSEC-1874: Cross-Site Scripting (XSS) in the Admin Gift Registry Type Edit via Attribute Group
  • APPSEC-1872: Cross-Site Scripting (XSS) in the Admin Manage Catalog Events list through category name
  • APPSEC-1928: Stored XSS in Downloadable Product Links title – frontend
  • APPSEC-1871: Cross-Site Scripting (XSS) in the Admin Manage Customer Rewards points history using the Reason field
  • APPSEC-1870: Cross-Site Scripting (XSS) in Admin Manage Invitations list through Invitee email address
  • APPSEC-1972/APPSEC-2103: Admin password change does not force the logout of the Admin user
  • APPSEC-1934: Systemic Cross-Site Request Forgery (CSRF) on the Checkout page
  • APPSEC-1917: Password theft though uploaded video and Auth Prompt password theft vulnerability
  • APPSEC-1993: IP spoofing

Wat moet ik doen om Magento Security issues te bestrijden?

Gebruik altijd de laatste versie van Magento Open Source (1.9.3.9) of Magento Commerce (1.14.3.9) om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.
Wij helpen u graag hiermee. Mail ons via het supportaanvraagformulier of bel ons op 020-3375906

Magento 2 Security Release en Update (2.2.5 + 2.1.14)

Magento heeft op 27 Juni een nieuwe release vrijgegeven, Magento Open Source 2.2.5 en Magento Commerce 2.1.14 Deze release biedt een oplossing voor meerdere kritieke beveiligingsproblemen en omvatten de uitvoering van externe code, cross-site scripting en CSRF (Cross-Site Request Forgery).  Naast deze beveiligingsproblemen zijn er ook een groot aantal andere zaken verbeterd waaronder ruim 150 verbeteringen vanuit de Magento Community. Meer informatie is te vinden op de volgende URL: https://devdocs.magento.com/guides/v2.2/release-notes/ReleaseNotes2.2.5CE.html

Belangrijk!

Vanaf Magento 2.2.5 gaat Magento naar een cyclus van 1 minor release per kwartaal. Deze releases omvatten ‘bug fixes’, beveiliging updates, introductie van nieuwe gebundelde extensies en community code extensies. Ze bevatten geen veranderingen die de ‘backwards’ compatibiliteit beïnvloeden, architectuur aanpassingen of ‘Major Changes’. Deze zullen buiten de kwartaal releases tot stand komen.

We raden u aan om uw Magento-winkel naar deze nieuwste versie te upgraden

De 16 lekken van Magento Open Source 2.2.5 en Magento Commerce 2.1.14:

  • APPSEC-2014: Authenticated Remote Code Execution (RCE) through the Magento admin panel (swatches module)
  • APPSEC-2054: Remote Code Execution (RCE) via product import
  • APPSEC-2042: PHP Object Injection and RCE in the Magento 2 EE admin panel (Commerce Target Rule module)
  • APPSEC-2055: PHP Object Injection and RCE in the Magento 2 Commerce admin panel (Schedule Import/Export Configuration)
  • APPSEC-2048: SQL Injection through API
  • APPSEC-2025: Arbitrary File Delete via Product Image
  • APPSEC-2044: Cross-Site Scripting (XSS) through B2B quote
  • APPSEC-2026: Authenticated Remote Code Execution (RCE) through the Magento admin panel (currency configuration)
  • APPSEC-2063: Full Page Cache authorization bypass
  • APPSEC-2070: Directory Traversal in Product Import
  • APPSEC-2062: Remote Code Execution (RCE) through dev tools
  • APPSEC-2027: PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • APPSEC-2010: Cross-Site Request Forgery + Frontend Stored XSS (Design Configuration)
  • APPSEC-2030: Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • APPSEC-1716: X-Frame-Options missing from templates
  • APPSEC-1993: IP Spoofing

Wat moet ik doen om Magento Security issues te bestrijden?

Gebruik altijd de laatste versie van Magento Open Source (2.2.5) of Magento Commerce (2.1.14) om zo de beveiligingsupdates te krijgen. Wij helpen u graag hiermee. Mail ons via het supportaanvraagformulier of bel ons op 020-3375906

Symantec SSL certificaten geen ondersteuning van Google Chrome

Geschreven door Mats van de Seijp.

sslbadgeEind maart maakte Google bekend maatregelen te willen nemen richting Symantec, iets wat veel gevolgen zou kunnen hebben voor de ondersteuning van Symantec SSL certificaten in Google Chrome. Google heeft onlangs hun definitieve voorstel gepresenteerd voor de ondersteuning in Chrome. Kort erna heeft Symantec aangekondigd de volledige SSL certificaten tak te verkopen aan DigiCert.

Het voorstel van Google

De Symantec SSL certificaten, Thawte en Geotrust worden stapsgewijs niet meer toegestaan, maar de startdatum is hiervoor wel verschoven van 8 augustus 2018 naar april 2019. Dit geeft Magento webwinkeleigenaren dus meer tijd om de certificaten te vervangen. De tijdslijn van Google Chrome ziet er als volgt uit:

  • April 2018 (Chrome versie 66), de Symantec certificaten uitgegeven voor 1 juni 2016 worden niet meer vertrouwd.
  • September 2018 (Chrome versie 70 (gepland)), alle Symantec certificaten uitgegeven onder de huidige PKI infrastructuur worden niet meer vertrouwd.

Mozilla is de eerste andere browser die heeft aangegeven zich te conformeren aan het voorstel van Google. Naar alle waarschijnlijkheid zullen er meerdere browsers volgen.

Wat betekent dit voor mijn Magento shop?

Dit betekent voor Symantec certificaat gebruikers, onder voorbehoud van wijzigingen, dat :

  • Voor april 2018 de certificaten die zijn uitgegeven voor 1 juni 2016, vervangen moeten worden. Dit kan door een heruitgifte van het hetzelfde certificaat, of door over te stappen naar een andere organisatie die certificaten uitgeeft.
  • Voor september 2018 alle Symantec certificaten heruitgegeven moeten worden via een vernieuwde PKI infrastructuur, bijvoorbeeld via DigiCert of een andere organisatie. Dit betekent ook dat de certificaten die nu geldig zijn (en na september 2018), maar wel zijn uitgegeven via Symantec infrastuructuur, alsog vervangen moeten worden.

DigiCert heeft een artikel geplaatst waarin ze uitleg geven hoe zij deze certificaten gaan vervangen en wat jij daarvoor moet doen. Lees er hier meer over.
Geen idee of dit van toepassing is op jouw Magento shop? Op de website  van Symantec kun je heel simpel checken of jouw SSL certificaat nog vertrouwd wordt door Google Chrome.

Hulp nodig met het vervangen van je SSL certificaten op je Magento shop? Neem gerust contact met ons op.

Magento Open Source (OS) 2.2.4 release

Geschreven door Mats van de Seijp.

magento-upgradeOp 2 mei 2018 is Magento 2.2.4 vrijgegeven met bijna 300 verbeteringen en nieuwe mogelijkheden. Hieronder een overzicht van de belangrijkste aanpassingen.

Magento 2.2.4 highlights

  • nieuwe 'bundled extensions' die direct en nauwkeurig belasting- en verzendkostenberekeningen toevoegen, direct vanuit de winkelwagen.
    • Amazon Pay biedt een vertrouwde manier voor klanten om in en uit te checken
    • Vertex vereenvoudigt en automatiseert de complexiteit van de berekeningen van de omzetbelastingen
    • Klarna Payments is een nieuwe betaalmethode. Met Klarna Payments kunt u klanten de mogelijkheid bieden om direct te betalen, achteraf te betalen of bij levering van de bestelling.
  • Ook zijn er tal van verbeteringen doorgevoerd in Magento Shipping en Dotmailer. U kunt nu eigen sjablonen maken in Dotmailer voor transactionele emails. De mogelijkheden voor Magento Shipping zijn ook flink uitgebreid.
  • Veel fixes en verbeteringen aan de core, waaronder prestatieverbeteringen voor het laden van afbeeldingen en zoekfuncties, die sneller shoppen mogelijk maken.
  • Bijna 200 bijdrages vanuit de Magento Community.

Meer informatie over Magento 2.2.4

Een gedetailleerd overzicht van alle verbeteringen kunt u hier vinden.

Alhoewel deze update geen specifieke veiligheidslekken dicht t.o.v. Magento 2.2.3, onderschrijven wij Magento's advies om uw software altijd bij te werken. Wij helpen u graag daarbij. Mail ons via het supportaanvraagformulier of bel ons op 020-3375906

Event:"Impact AVG (GDPR) op Magento shops" was een groot succes

Geschreven door Mats van de Seijp.

Op donderdag 12 april organiseerde we samen met Byte een kennissessie over de impact van de AVG (GDPR) op Magento shops. In het mooie kantoor van Byte, vlak naast het Westerpark in Amsterdam, kwamen meer dan 80 webshopeigenaren, managers en developers samen om kennis op te doen over dit interessante onderwerp. De avond werd afgetrapt door Michiel Leij, gastheer en avondvoorzitter van het event. Nadat hij iedereen namens SupportDesk, Byte, Citadel en Buckaroo verwelkomde werd de AVG vanuit verschillende invalshoeken benaderd door de gastsprekers. De onderwerpen die aan bod kwamen waren:

  • De GDPR: Nieuwe Europese privacywet vanaf 25 mei
  • Impact van de AVG op Magento shops
  • AVG & Webhosting
  • AVG & Payment Service Providers
  • AVG & Verzekeringen

De avond werd afgesloten met discussiepanel en daarna een gezellige borrel. We willen graag iedereen bedanken voor de vele positieve reacties op het event. Kon je niet bij het event zijn maar ben je wel geïnteresseerd in wat er allemaal besproken is? Byte heeft een uitgebreide blog geschreven met alle takeaways over deze geslaagde avond.

event impact AVG - GDPR op Magento

De bijdrage van SupportDesk, de presentatie over de impact van de AVG (GDPR) op Magento shops, kun je via deze link nog eens inzien en downloaden.
Wil je meer weten over de impact van de AVG (GDPR) op Magento shops? Neem dan eens een kijkje in deze blog of neem gerust contact op met een van onze experts.

Queue-it: Why you need a virtual waiting room to complement your Magento ecommerce platform

Geschreven door Mats van de Seijp.

queue-it magento SupportDeskRunning an online store is no easy business. During unexpected surges in traffic, just relying on ecommerce software to handle millions of digital customers is not enough. How is the inventory database system handled? Are payments carried out successfully? Are third-party integrations functioning?

These are some of the dilemmas that ecommerce businesses or consultancies have on a regular basis. Aside from these, from a technical perspective, they also need to integrate all their digital solutions, like customer relationship management systems, personalization extensions or other integrated platforms to seamlessly and simultaneously run their online business.

During busy campaign days, there are basic expectations, not necessarily related to a specific product sale that also need to be met. For example, keeping webshops online, during high traffic events.

In the past, many ecommerce and consultancy companies, turned to server scaling when they suffered from outage problems, without really understanding the difference between what server scaling provides and what transactional operations on a website require. Server scaling can work well for static content, such as images on a website, making it run faster and smoother. But it’s a different story if the website depends on transactional functions.

This is where a virtual waiting room comes in. During campaigns that attract unprecedented online attention, a virtual waiting room will control website traffic peaks and maintain performance at all times, by offloading visitors to an online waiting queue environment, while taking care of all the database bottlenecks.

How a virtual waiting room improves an ecommerce platform functionality

SupportDesk, an ecommerce consultancy company that provides professional support for Magento webshops, has integrated a virtual waiting room system with the Magento ecommerce platform, to control website overload during extreme traffic peaks, for one of their retail footwear customers, Patta.

The need for a virtual waiting room was discovered during one of Patta’s key product launches, that was characterized by a limited stock and enormous popularity. The exclusivity of the released products combined with the social media campaigns and release announcements brought a considerable amount of traffic to their Magento ecommerce platform and their servers.

As a solution to the overload situation, SupportDesk integrated Queue-it’s virtual waiting room with Patta’s Magento ecommerce platform.

’’Although Magento is a highly scalable platform that can handle a substantial amount of transactions, it is bound by the same limitations as any other system based on a relational database. Dynamic page requests such as search, checkout and payment pages rely heavily on database transactions, which have limited capacity and may be difficult or expensive to scale. Furthermore, Magento’s third-party integrations (e.g. payment gateways) have their own limitations that cannot easily be amended.’’

Martin Pronk, CTO, Queue-it

With expectations to improve their client’s website performance, SupportDesk came across Queue-it’s virtual waiting room system:

’’You need a virtual waiting room when you expect lots of online customers within a short time frame, to prevent a bad performing shop, or worse, a crashing server. A virtual waiting room is functioning like a safety-net controlling the traffic flow.’’

Sibren Wilkeshuis, Team Manager, SupportDesk

Magento ecommerce platform & Queue-it virtual waiting room integration

Not all virtual waiting rooms are created equal. They can vary considerably in what they offer and how they can be implemented. For this reason, it is essential to know what to look for when considering a virtual waiting room provider.

In Patta’s case, the main area of focus was ease of integration, with no changes to existing systems. SupportDesk implemented Queue-it across the entire website through JavaScript, with a simple link, with no user data placed outside Patta’s existing systems.

’We used the virtual waiting room during Patta’s product releases through a JavaScript integration, in front of the whole website. We have seen that a single release runs smoothly and typically with high queue speeds. People buy and go to the checkout. Bigger releases with lots of items (sneakers, shorts, sweaters, caps) create a different shopping behavior. People spend more time browsing all the products in the catalog, which puts more stress on the ecommerce platform.’’

Sibren Wilkeshuis, Team Manager, SupportDesk

To make sure that the client’s products ended-up in the hands of real shoppers and to protect their sales against bots and fraudulent activity, SupportDesk turned to Queue-it’s server-side integration. SupportDesk has rewritten the existing Queue-it Magento 2 module to Magento 1. The server-side integration, provided each end-user with a specific queue ID and therefore decreased the likelihood of fraudulent activity or end-users bypassing the queue.

By integrating the virtual waiting room solution with Magento’s ecommerce platform, SupportDesk helped their client ensure a stable webshop during their product releases, while preserving their ecommerce platform functionality.

About SupportDesk

SupportDesk has been one of the leading Magento Support organizations in the Netherlands for over 5 years. With two offices and 25 employees, SupportDesk solves complex Magento 1 and Magento 2 issues for their customers and helps them to optimize their Magento shops. SupportDesk specializes in Magento Security, performance, technical SEO, theming, mobile and migrations while also providing regular training on these topics.

Learn more about virtual waiting rooms and how ecommerce consultancies and online retailers use them.

Meer artikelen...

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens