Nieuwe security updates Magento 1 en 2 uitgebracht

Geschreven door Mats van de Seijp.

Magento 1 Security Patch (SUPEE-10752 / 1.9.3.9 + 1.14.3.9)

magento-upgradeMagento heeft op 27 juni een nieuwe patch vrijgegeven, SUPEE-10752. Deze patch biedt een oplossing voor meerdere kritieke beveiligingsproblemen en omvatten de uitvoering van externe code, cross-site scripting en CSRF (Cross-Site Request Forgery). We raden u aan om uw Magento-winkel naar deze nieuwste versie te upgraden. Daarnaast bevat deze patch genaamd Magento Commerce 1.14.3.9 and Open Source 1.9.3.9 een aantal verbeteringen.

Problemen en verbeteringen:

  • Magento voert niet langer onnodige schrijfbewerkingen uit in de tabel core_url_rewrite.
  • Klanten kunnen zich nu succesvol registreren tijdens het afrekenen zonder onverwacht uitgelogd te worden.
  • Een onjuiste ‘escape’ in het cron.sh-bestand voorkomt niet langer meer dat ‘cron-taken’ parallel lopen zoals verwacht.
  • Nadat een klant zich heeft afgemeld schoont Magento nu de sessiegegevens op zoals verwacht

De 24 lekken van SUPEE-10752:

  • APPSEC-2001: Authenticated Remote Code Execution (RCE) using custom layout XML
  • APPSEC-2015: Authenticated Remote Code Execution (RCE) through the Create New Order feature (Commerce only)
  • APPSEC-2042: PHP Object Injection and RCE in the Magento admin panel (Commerce Target Rule module)
  • APPSEC-2029: PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • APPSEC-2007: Authenticated SQL Injection when saving a category
  • APPSEC-2027: CSRF is possible against Web sites, Stores, and Store Views
  • APPSEC-1882: The cron.php file can leak database credentials
  • APPSEC-2006: Stored cross-site scripting (XSS) through the Enterprise Logging extension
  • APPSEC-2005: Persistent Cross-Site Scripting (XSS) injection in Configuration table
  • APPSEC-1880: Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • APPSEC-2004: Cross-Site Scripting (XSS) through Remote File Inclusion
  • APPSEC-1988: Path traversal vulnerability in templates
  • APPSEC-1987: Reflective cross-site scripting (XSS) through filter manipulation
  • APPSEC-2034: XSS in Admin Create Order Configure Product Via Compatible File Extensions
  • APPSEC-1876: Cross-site scripting (XSS) in Admin Bundle Product Bundle Items Tab through Product SKU
  • APPSEC-1874: Cross-Site Scripting (XSS) in the Admin Gift Registry Type Edit via Attribute Group
  • APPSEC-1872: Cross-Site Scripting (XSS) in the Admin Manage Catalog Events list through category name
  • APPSEC-1928: Stored XSS in Downloadable Product Links title – frontend
  • APPSEC-1871: Cross-Site Scripting (XSS) in the Admin Manage Customer Rewards points history using the Reason field
  • APPSEC-1870: Cross-Site Scripting (XSS) in Admin Manage Invitations list through Invitee email address
  • APPSEC-1972/APPSEC-2103: Admin password change does not force the logout of the Admin user
  • APPSEC-1934: Systemic Cross-Site Request Forgery (CSRF) on the Checkout page
  • APPSEC-1917: Password theft though uploaded video and Auth Prompt password theft vulnerability
  • APPSEC-1993: IP spoofing

Wat moet ik doen om Magento Security issues te bestrijden?

Gebruik altijd de laatste versie van Magento Open Source (1.9.3.9) of Magento Commerce (1.14.3.9) om zo de nieuwste verbeteringen, features en beveiligingsupdates te krijgen.
Wij helpen u graag hiermee. Mail ons via het supportaanvraagformulier of bel ons op 020-3375906

Magento 2 Security Release en Update (2.2.5 + 2.1.14)

Magento heeft op 27 Juni een nieuwe release vrijgegeven, Magento Open Source 2.2.5 en Magento Commerce 2.1.14 Deze release biedt een oplossing voor meerdere kritieke beveiligingsproblemen en omvatten de uitvoering van externe code, cross-site scripting en CSRF (Cross-Site Request Forgery).  Naast deze beveiligingsproblemen zijn er ook een groot aantal andere zaken verbeterd waaronder ruim 150 verbeteringen vanuit de Magento Community. Meer informatie is te vinden op de volgende URL: https://devdocs.magento.com/guides/v2.2/release-notes/ReleaseNotes2.2.5CE.html

Belangrijk!

Vanaf Magento 2.2.5 gaat Magento naar een cyclus van 1 minor release per kwartaal. Deze releases omvatten ‘bug fixes’, beveiliging updates, introductie van nieuwe gebundelde extensies en community code extensies. Ze bevatten geen veranderingen die de ‘backwards’ compatibiliteit beïnvloeden, architectuur aanpassingen of ‘Major Changes’. Deze zullen buiten de kwartaal releases tot stand komen.

We raden u aan om uw Magento-winkel naar deze nieuwste versie te upgraden

De 16 lekken van Magento Open Source 2.2.5 en Magento Commerce 2.1.14:

  • APPSEC-2014: Authenticated Remote Code Execution (RCE) through the Magento admin panel (swatches module)
  • APPSEC-2054: Remote Code Execution (RCE) via product import
  • APPSEC-2042: PHP Object Injection and RCE in the Magento 2 EE admin panel (Commerce Target Rule module)
  • APPSEC-2055: PHP Object Injection and RCE in the Magento 2 Commerce admin panel (Schedule Import/Export Configuration)
  • APPSEC-2048: SQL Injection through API
  • APPSEC-2025: Arbitrary File Delete via Product Image
  • APPSEC-2044: Cross-Site Scripting (XSS) through B2B quote
  • APPSEC-2026: Authenticated Remote Code Execution (RCE) through the Magento admin panel (currency configuration)
  • APPSEC-2063: Full Page Cache authorization bypass
  • APPSEC-2070: Directory Traversal in Product Import
  • APPSEC-2062: Remote Code Execution (RCE) through dev tools
  • APPSEC-2027: PHP Object Injection and Remote Code Execution (RCE) in the Admin panel (Commerce)
  • APPSEC-2010: Cross-Site Request Forgery + Frontend Stored XSS (Design Configuration)
  • APPSEC-2030: Cross-Site Scripting (XSS) through the Admin Username in the CMS Revision Editor (Commerce only)
  • APPSEC-1716: X-Frame-Options missing from templates
  • APPSEC-1993: IP Spoofing

Wat moet ik doen om Magento Security issues te bestrijden?

Gebruik altijd de laatste versie van Magento Open Source (2.2.5) of Magento Commerce (2.1.14) om zo de beveiligingsupdates te krijgen. Wij helpen u graag hiermee. Mail ons via het supportaanvraagformulier of bel ons op 020-3375906

meer info   of   

Bel nu! 020 337 5961

Mats van de SeijpDit artikel is geschreven door Mats van de Seijp, onze spin in het web als Support, Ticket Manager, Business Intelligence analyst en Blogger.

LinkedIn

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens