Het probleem

 

Tijdens het ontwikkelen van een nieuwe versie van het Zend framework, waar magento op gebaseerd is, is er afgelopen week een beveiligings lek gevonden. Door dit lek zou een aanval op de site mogelijk zijn die bestanden op de site leesbaar kan maken. Dit opent ook de deur voor de mogelijkhijd dat een aanvaller de database in kan zien en zo waardevolle klant gegevens zou kunnen copieren. Dit is natuurlijk allemaal niet de bedoeling maar dankzij een goed oplettende magento community stond er binnen no-time een reeks fixes klaar.

 

Er zijn drie verschillende fixes.

 

1. Het upgraden van Magento naar 1.7.0.2

2. Het patchen van een oude installatie

3. Het uitschakelen van de XML-RPC Controller

 

Over de fixes

 

Fix 1

De eerste fix is de beste fix. Het is altijd verstandig, ook met veiligheid in gedachten, Magento zo up to date mogelijk te houden.
Een update is mits Magento goed onderhouden is tevens een van de simpelst te implementeren oplossingen. De Magento update naar 1.7.0.2 is te vinden op: http://www.magentocommerce.com/wiki/1_-_installation_and_configuration/upgrading_magento

 

Fix 2

Het patchen van een oude installatie is een 2e optie. Er zijn drie verschillende patches, die elk voor verschillende Magento versies zijn.

De patches zijn:

  • Community Edition 1.4.0.0 tot 1.4.1.1
  • Community Edition 1.4.2.0
  • Community Edition 1.5.0.0 tot 1.7.0.1
  • De patch valt uit te voeren door te navigeren naar de map lib/Zend/XmlRpc van je magento installatie. (voorbeeld) cd public_html/lib/Zend/XmlRpc Vervolgens de juiste patch binnen te halen. (voorbeeld) wget http://www.magentocommerce.com/downloads/assets/1.7.0.2/CE_1.5.0.0-1.7.0.1.patch en vervolgens de patch te draaien dmv het patch commando. (voorbeeld) patch < /the/full/path/to/the/file/CE_1.5.0.0-1.7.0.1.patch Als de goeie patch versie gekozen is en hij correct is uitgevoerd, op niet eerder aangepaste of gepatchte code zou alles goed moeten zijn verlopen en kan de patch weer verwijderd worden. Is de patch echter niet correct verlopen, voer deze dan niet nogmaals uit! De patch zal dan weer een reeks regels vervangen die al reeds, al dan niet deels, vervangen zijn.

     

    Fix 3

    Het uitschakelen van de XML-RPC Controller is niet aan te raden. Dit heeft meerder redenen. De meest logische reden is, het bestand bestaat niet voor niets en kan gebruikt worden door uw webshop of zelfs heel belangrijk zijn voor het normaal functioneren. Daarnaast kan het problemen opleveren mocht u later wel van plan zijn te updaten.