Magento Security Update SUPEE-5994 Patch Bundle

Geschreven door Ray Bogman.

securityrelease

ShopHack

Onlangs zijn er 7 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-5994. De lekken zijn aanwezig in alle versies van Magento (1.4/x - 1.9/x), dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er alleen patches beschikbaar vanaf 1.4 en hoger, maar Magento geeft aan dat het hier om alle versies gaat.  

Wat zijn de 7 lekken van ShopHack?

  • Admin Path Disclosure
    • Een aanvaller kan de Admin Login verzoeken rechtstreeks een module aan te roepen, ongeacht of deze voorkomen in de Admin URL. Dit maakt het makkelijker om het wachtwoord met behulp van brute force attacks te achterhalen.

  • Customer Address Leak through Checkout
    • Hiermee kan een aanvaller adresgegevens (naam, adres, telefoonnummer ) van de adresboeken van andere klanten verkrijgen.Tijdens het afrekenen, kan de aanvaller toegang tot een willekeurig adresboek krijgen door het invoeren van een sequentiële ID. Een functionele proof of concept bestaat reeds.

  • Customer Information Leak through Recurring Profile
    • Dit probleem maakt dhet mogelijk voor de aanvaller  om adres, vorige bestelling, betaalmethode en informatie van de terugkerende betaling profielen van andere klanten te verkrijgen. Een functionele proof of concept bestaat reeds.

  • Local File Path Disclosure Using Media Cache
    • De aanvaller kan fictieve image URL's gebruiken om de server gegevens bloot te leggen, ongeacht de instellingen.
  • Spreadsheet Formula Injection
    • De aanvaller kan input, die door een algoritme wordt uitgevoerd, exporteren en openen in een spreadsheetprogramma zoals Microsoft Excel. De formule kan oa. gegevens exporteren, persoonlijke gegevens wijzigen.
  • Cross-site Scripting Using Authorize.Net Direct Post Module
    • Hiermee kan een aanvaller JavaScript uit voeren in het kader van klantsessie. Als een klant dan op een schadelijke link klikt, kan de aanvaller cookies stelen en de sessie overnemen, die dan persoonlijke informatie blootsteld.
  • Malicious Package Can Overwrite System Files
    • Aanvaller kan een kwaadwillende module installeren en code overschrijven.

Wat moet ik doen om ShopHack te bestrijden?

Wij raden onze klanten met een Magento webshop de patches te installeren. Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-5994 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens