Magento Security Update 8788

Geschreven door Ray Bogman.

securityrelease

Onlangs zijn er 17 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-8788. De lekken zijn aanwezig in alle versies van Magento t/m 1.9/x, dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar vanaf 1.5 en hoger, maar het betreft hier een issue dat impact heeft op alle versies.  

Wat zijn de 17 lekken van SUPEE-8788?

  • APPSEC-1484 - Remote Code Execution in checkout
    • CVSSv3 Severity: 9.8 (Critical)
  • APPSEC-1480 - SQL injection in Zend Framework
    • CVSSv3 Severity: 9.1 (Critical)
  • APPSEC-1488 - Stored XSS in invitations
    • CVSSv3 Severity: 8.2 (High)
  • APPSEC-1247 - Block cache exploit
    • CVSSv3 Severity: 7.7 (High)
  • APPSEC-1517 - Log in as another customer
    • CVSSv3 Severity: 7.5 (High)
  • APPSEC-1375 - Remote Code Execution in admin
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1338 - Full Page Cache poisoning
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1436 - XSS vulnerability in URL processing
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1211 - XSS in categories management
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1058 - GIF flooding
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-666 - Cross-site scripting in Flash file uploader
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-1282: Filter avoidance
    • CVSSv3 Severity: 4.9 (Medium)
  • APPSEC-327 - CSRF in several forms
    • CVSSv3 Severity: 4.7 (Medium)
  • APPSEC-1189 - CSRF on removing item from Wishlist or Address Book
    • CVSSv3 Severity: 4.7 (Medium)
  • APPSEC-1478: Session does not expire on logout
    • CVSSv3 Severity: 4.2 (Medium)
  • APPSEC-1106 - Lack of certificate validation enables MitM attacks
    • CVSSv3 Severity: 3.7 (Low)
  • APPSEC-995 - Timing attack on hash checking
    • CVSSv3 Severity: 3.7 (Low)

Magento 1.9.3.0 update

Magento adviseert om spoedig alles te update naar de laatste versie, Magento 1.9.3.0 of de patch toe te passen. Met de komst van 1.9.3.0 zijn tevens meer dan 120 verbetering beschikbaar. De security patch staat in deze dus los van een eventueel upgrade naar Magento 1.9.3.0.

De nieuwe Magento 1.9.3.0 update beschikt oa. over de volgende verbeteringen.

  • PHP 5.6 ondersteuning (PHP 5.5 is nl EOF "End Of Life")
  • BTW Calulatie
  • Winkelmandje en Checkout problemen
  • Catalogus
  • Prijs regels
  • Configurable color swatches
  • Import/export
  • Indexer performance problemen
  • En vele andere fixes...

Zo te lezen is Magento 1.9.3.0 dus niet zo maar een upgrade, maar weer een nieuwe versie met zowel vele security, performance en algemene verbeteringen.

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-8788 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens