Weblog

door Bas onder GeneralNewsVPS / Server Management | 0 comments

Kritieke kwetsbaarheid in Magento gevonden, update noodzakelijk

Recent is voor Magento een update uitgebracht die een belangrijke kwetsbaarheid oplost. Het lek in kwestie maakt het voor aanvallers mogelijk om vanaf afstand volledige controle over uw webshop te krijgen en daarmee direct toegang tot de klantendatabase en backoffice-omgeving.

Achtergrond van de kwetsbaarheid

In het loginmechanisme van Magento zit een kwetsbaarheid die door aanvallers kan worden misbruikt om de authenticatie te omzeilen. Hiermee krijgen aanvallers volledige toegang tot de webshop.

Wanneer een aanvaller toegang heeft tot Magento kan deze in theorie bij alle informatie, inclusief de klantdatabase. Ook is een aanvaller in staat om zelf extra code te plaatsen, bijvoorbeeld code die betalingen aftapt en bestellingen onklaar maakt.

Het lek staat bekend onder de naam 'Shoplift' en wordt inmiddels ook actief misbruikt om toegang te krijgen tot webshops.

Overzicht van kwetsbare systemen

Deze kwetsbaarheid geldt voor alle versies van Magento dus zowel de gebruikers van Magento Community als Magento Enterprise moeten de omgeving updaten

Indien u enkel de Magento-image van CloudVPS heeft gekozen bij het installeren van uw VPS maar geen Magento heeft geinstalleerd bent u niet kwetsbaar.

Update installeren

De kwetsbaarheid wordt opgelost door de patch met naam SUPEE-5344 toe te passen. Het installeren van de update bestaat uit twee onderdelen: het installeren van de patch en het legen van de cache. De versie van de patch die u nodig heeft is afhankelijk van de Magento-versie die u draait. Voor meer informatie hierover kunt u ondermeer kijken op de pagina met uitleg van Byte: https://www.byte.nl/wiki/Magento_lek_SUPEE-5344

Heeft u zelf geen ervaring met het installeren van updates? Neemt u dan
contact op met de leverancier of beheerder van uw webshop.

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen