Belangrijk: SUPEE-6285 Patch en Magento 1.9.2 Update

Via je Magento Admin heb je een melding ontvangen dat er een nieuwe patch SUPEE-6285 is uitgebracht, met het advies om deze zo snel mogelijk te installeren. Op hetzelfde moment heeft Magento een nieuwe versie 1.9.2 uitgebracht van het populaire webwinkel platform waarin deze patch al is toegepast. Het advies is dan ook om je Magento webwinkel bij te werken naar versie 1.9.2. In deze nieuwe versie is een nieuw ontdekt lek gedicht. Via dit lek konden klantgegevens worden ontfutseld uit je Magento webwinkel. Alhoewel er nog geen gevallen van misbruik zijn ontdekt, is het aan te raden om deze patch zo snel mogelijk te installeren.

Wat is er aan de hand?

Criminelen kunnen zich voordoen als een administrator om inzicht te krijgen in het overzicht met nieuwe bestellingen, waarmee privé gegevens van klanten kan worden ontfutseld. Met deze gegevens kunnen vervolgens nieuwe aanvallen gestart worden waarbij meer gegevens kunnen worden gestolen. In de server logs kun je deze aanvallen terugvinden door te zoeken naar bezoekers die de locatie /rss/NEW proberen te benaderen.

  • Customer Information Leak via RSS and Privilege Escalation
    Improper check for authorized URL leads to customer information leak (order information, order IDs, customer name). Leaked information simplifies attack on guest Order Review, which exposes customer email, shipping and billing address. In some areas, the same underlying issue can lead to privilege escalation for Admin accounts.
  • Request Forgery in Magento Connect Leads to Code Execution
    Cross-site request forgery in Magento Connect Manager allows an attacker to execute actions such as the installation of a remote module that leads to the execution of remote code. The attack requires a Magento store administrator, while logged in to Magento Connect Manager, to click a link that was prepared by the attacker.
  • Cross-site Scripting in Wishlist
    This vulnerability makes it possible to include an unescaped customer name when Wishlist are sent. By manipulating the customer name, an attacker can use the store to send spoofing or phishing emails.
  • Cross-site Scripting in Cart
    The redirection link on an empty cart page uses non-validated user input, which makes it possible to use URL parameters to inject JavaScript code into the page.Cookies and other information can be sent to the attacker, who is impersonating a customer.
  • Store Path Disclosure
    Directly accessing the URL of files that are related to Magento Connect produces an exception that includes the server path. The exception is generated regardless of the configuration settings that control the display of exceptions.There is a low risk of attackers gaining a sufficient understanding of the site structure to target an attack.
  • Permissions on Log Files too Broad
    Log files are created with permission settings that are too broad, that allows them to be read or altered by another user on the same server. The risk of an internal information leak is low.
  • Cross-site Scripting in Admin
    An attacker can inject JavaScript into the title of a Widget from the Magento Admin. The code can be later executed when another administrator opens the Widget page.The risk requires the attacker to have administrator access to the store. However, when executed, the attacker can take over other administrator accounts.
  • Cross-site Scripting in Orders RSS
    The vulnerability allows an attacker to include an unescaped customer name in the New Orders RSS feed. By manipulating the customer name, an attacker can inject incorrect or malicious data into the feed, and expose the store to risk.
 

In de afgelopen maanden zijn meerdere patches uitgebracht, zoals de "shoplift" patch SUPEE-5344 en SUPEE-5994. Het is belangrijk om te weten dat deze nieuwe patch de vorige patches niet overbodig maakt. Wanneer je deze vorige patches nog niet toegepast hebt, dan is het verstandig om dit zo snel mogelijk uit te voeren.

Magento raad aan om de nieuwe versie 1.9.2 van Magento te installeren. In deze versie is de SUPEE-6285 patch toegepast, evenals de vorige patches SUPEE-5344 en SUPEE-5994.

Enkel en alleen als je niet wilt of kunt updaten naar 1.9.2, dan zul je de patch SUPEE-6285 moeten installeren. Het is heel belangrijk dat je voor toepassing van deze nieuwe patch de vorige patches al hebt toegepast! Als je dat nog niet gedaan hebt, installeer SUPEE-5344 en SUPEE-5994 dan eerst voordat je SUPEE-6285 toepast.

Je kunt zowel de nieuwe Magento versie 1.9.2 en de patch SUPEE-6285 (en de vorige patches) downloaden via Magento.

Het downloaden en toepassen van de patch kan alleen worden gedaan via SSH. Heb je geen ervaring met SSH of geen SSH toegang tot je website, neem dan contact op met de beheerder van je website. Je kunt ons ook vragen om je te helpen met het toepassen van de patch. Neem direct contact op.

Reageren is niet (meer) mogelijk.