Nieuwe Security Patch voor Magento (SUPEE-6285)

Magento heeft gisteravond weer een nieuwe beveilingspatch uitgebracht voor Magento onder de naam: SUPEE-6285. Net als bij de vorige patch geeft Magento aan dat er nog geen misbruik is gemaakt van de lekken die met deze patch worden gedicht. Magento raadt wel sterk aan om deze patch zo snel mogelijk te laten installeren om uw webshop te beschermen.

De patch dicht o.a. de volgende lekken:

  • Het voorkomt hackers die zich willen voordoen als administrators om toegang te krijgen tot de feed van uw laatste orders. In deze feeds zit gevoelige informatie waar hackers gebruik van kunnen maken. Als u denkt dat dit gebeurd is op uw webshop, controleer dan uw server logs op iemand die /rss/NEW probeert te bereiken.
  • Het dicht een aantal veiligheidslekken waaronder Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) en error path disclosure kwetsbaarheden. Een hele mond vol, kortgezegd betekend dit dat een kwaadwillende scripts kan uitvoeren waardoor uw webshop deze gebruiker als vertrouwd acht en daardoor toegang geeft tot privacy gevoelige informatie. Denk hierbij aan het kunnen exporteren van de gehele orderfeed, waarin alle informatie van uw klanten staat.

 
De SUPEE-6285 patch is beschikbaar voor zowel Magento Community vanaf versie 1.4.1 t/m 1.9.1.1 en Magento Enterprise Edition vanaf versie 1.9 en later. Magento Community versie 1.9.2 bevat deze patch al. Via de officiele Magento-site kunt u de patch downloaden waar u ook de Magento Community Edition kunt downloaden. Magento Enterprise gebruikers kunnen de patch downloaden via hun account op de officiële Magento-site.

Het is op moment van schrijven nog niet bekend of deze security patch voor Magento ook de creditcard hack heeft opgelost.

Wij ondersteunen onze klanten bij de installatie van de patch. Heeft u vragen of kunnen wij u verder helpen? Neem dan contact op met een van onze consultants.