Magento pentest
Magento zet zich actief in om beveiligingslekken te voorkomen. Dat doet Magento door elk kwartaal zogenaamde ‘pentests’ uit te voeren. Tijdens deze pentests worden een aantal ‘pentesters’ gevraagd om Magento te hacken. In opdracht van Magento voeren deze ‘hackers’ opdrachten uit om de beveiliging van Magento te testen. Denk hierbij aan inloggen als administrator, gratis producten bestellen etc. Vaak komen deze hackers niets tegen, echter komt het weleens voor dat er een lek wordt ontdekt. Dit was het geval tijdens de laatste pentest.
Wat is er precies gevonden?
Tijdens de laatste pentest is een lek ontdekt in de WYSIWYG editor. Iemand met veel technische kennis zou een ingewikkelde ingreep kunnen uitvoeren via deze editor. Een dergelijke ingreep zou ervoor kunnen zorgen dat er bestanden en documenten van de Magento installatie verwijderd worden.
Magento edities
Magento Enterprise Edities 1.6.0.0 tot 1.13.0.2 en Magento Community 1.4.0.0 en 1.7.0.2 lopen risico. Magento shops met versie 1.8 en hoger hebben geen last van dit probleem.
Oplossing
Het lek kan opgelost worden door gebruik te maken van Magento versie 1.8 of hoger. Daarnaast kunnen gebruikers van overige edities een vrij makkelijke ‘patch’ uitvoeren. De patch is online beschikbaar vanaf 17 january 2014.
– Wanneer u gebruik maakt van Enterprise, kunt u deze patch downloaden in de ‘support patches’ gedeelte van My Account en de Partner Portal.
– De Magento Community patch kunt u vinden tussen de Opensource/Community Edition downloads.
Vergeet niet de vorige patch terug te draaien (‘revert’) voordat u de nieuwe toepast.
Mocht u hulp nodig hebben, bel of mail gerust. Guapa staat voor u klaar!