Magento Security Update SUPEE-9767

Geschreven door Ray Bogman.

security releaseOnlangs zijn er 16 veiligheidslekken in Magento ontdekt en opgelost in een patch SUPEE-9767. De lekken zijn aanwezig in alle versies van Magento t/m 1.9/x, dus zowel Magento Community als Magento Enterprise shops hebben hiermee te maken. Officieel zijn er enkel patches beschikbaar vanaf 1.5 en hoger, maar het betreft hier een issue dat impact heeft op alle versies.

Wat zijn de 16 lekken van SUPEE-9767?

  • APPSEC-1281 - Remote code execution through symlinks
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1777 - Remote Code Execution in DataFlow
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1686 - Remote Code Execution in the Admin panel
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1320 - SQL injection in Visual Merchandiser (Enterprise Edition)
    • CVSSv3 Severity: 8.8 (High)
  • APPSEC-1634 - XSS in data fields
    • CVSSv3 Severity: 8.7 (High)
  • APPSEC-1759 - XSS in Admin panel configuration
    • CVSSv3 Severity: 8.1 (High)
  • APPSEC-1549 - CSRF after logout - form key not invalidated
    • CVSSv3 Severity: 8.0 (High)
  • APPSEC-1693 - Bypassing ACLs in store configuration permissions
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1677 - Local File Disclosure for admin users with access to dataflow
    • CVSSv3 Severity: 6.5 (Medium)
  • APPSEC-1546 - CSRF Vulnerability in Checkout feature
    • CVSSv3 Severity: 6.1 (Medium)
  • APPSEC-1597 - Potential for user name enumeration
    • CVSSv3 Severity: 5.3 (Medium)
  • APPSEC-1695: CSRF cache management
    • CVSSv3 Severity: 4.7 (Medium)
  • APPSEC-1324 - Customer passwords exposed in logs
    • CVSSv3 Severity: 4.4 (Medium)
  • APPSEC-1675 - Cross-site Request Forgery Vulnerability in Enterprise Edition (EE) Invites
    • CVSSv3 Severity: 3.4 (Medium)
  • APPSEC-1659 - Vulnerabilities in JavaScript libraries
    • CVSSv3 Severity: 0.0 (Low)
  • APPSEC-1622 - Incorrect routing of requests
    • CVSSv3 Severity: 0.0 (Low)

Belangrijk!

  • Gebruik de CE 1.9.3.3/ EE 1.14.3.3 of nieuwer voor alle nieuwe CE/EE installaties en upgrades om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen. Men kan op het moment nog niet naar deze versie updaten via Magento Connect Manager. Dit zal echter wel snel opgelost worden.
  • Magento heeft een tweede versie van de 9767 patch uitgebracht en adviseert dat elke Magento shop de eerste versie terugdraait en de tweede versie installeert. Wij adviseren echter dat als u reeds de eerste versie heeft geïnstalleerd en hier geen problemen mee ondervindt, dat het installeren van versie 2 niet nodig is.

 

Wat moet ik doen om Magento Security issues te bestrijden?

Wij raden onze klanten zo spoedig mogelijk te patchen.

Wij doen dat graag voor u. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Via de Magento download website is het mogelijk de Magento security patch SUPEE-9652 te installeren. Maak altijd eerst een backup van de database en bestanden voor de patch wordt geïmplementeerd.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens