The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость в платформе электронной коммерции Magento

22.04.2015 10:10

В открытой платформе для организации электронной коммерции Magento, на основе которой работает более 240 тысяч интернет-магазинов, выявлена критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в конфигурациях по умолчанию.

Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344, при этом из-за соглашения о неразглашении информация об уязвимости обнародована только сейчас. Проблема состоит в том, что релизы Magento и патчи с устранением уязвимостей поставляются отдельно, т.е. пользователь должен установить релиз, а потом отслеживать появление патчей и применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке патчей, что потенциально делает их системы уязвимыми. Например, предлагаемый в настоящее время выпуск Magento 1.9.1.0 не включает в себя исправления.

  1. Главная ссылка к новости (http://www.marketwatch.com/sto...)
  2. OpenNews: Более 10% из миллиона крупнейших web-сайтов небезопасны
  3. OpenNews: Список открытых альтернатив для 60 наиболее популярных проприетарных программ
  4. OpenNews: Половина протестированных интернет-магазинов на платформе Magento подвержены критической уязвимости
  5. OpenNews: eBay поглотил производителя открытой платформы Magento eCommerce
  6. OpenNews: Открытый проект Magento получил 22.5 млн. долларов инвестиций
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42085-magento
Ключевые слова: magento
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Sluggard (ok), 10:15, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из российских интеренет-магазинов кто-нибудь использует, интересно?
    А то переживаю, вдруг данные моей QVV уведут.
     
     
  • 2.2, Аноним (-), 10:34, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно используют, на нём 30% всех интернет-магазинов работает.
     
     
  • 3.4, Sluggard (ok), 10:37, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно используют, на нём 30% всех интернет-магазинов работает.

    Но конкретики нам, конечно, не узнать. Жаль.

     
     
  • 4.10, тоже Аноним (ok), 13:38, 22/04/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если лень бросить гуглю пару слов - ни в жисть не узнать, конечно.
    http://magento-forum.ru/topic/4642/
     

  • 1.9, Аноним (-), 13:14, 22/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Там by design всё делает программист, от и до.
    Как оказывается ещё и апдейтить должен программист o_O
     
  • 1.17, SkyRanger (ok), 02:28, 23/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может я что-то путаю но по законам РФ хранить инфу о кредитках НИЗЗЯ?
     
     
  • 2.18, KK (?), 10:49, 23/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не по российским законам, а по стандартам платёжных систем
     
     
  • 3.19, Классический анонимус (?), 06:00, 24/04/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня Hertz (аренда авто) снял с карточки 36 ойро через ПОЛГОДА после того как я из отпуска вернулся. Пожаловался в банк, вернули, но хз может банк терпилой остался, а не ХЕРц.

    Так что храните деньги в банке, стеклянной. И карточку перевыпускайте раз в полгода-год на всякий ;)

     

  • 1.20, Дмитрий Федюк (?), 22:54, 26/04/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Magento не хранит данные банковских карт в открытом виде.
    Более того, крайне мало интернет-магазинов вообще обрабатывают реквизиты банковской карты непосредственно на своём сайте: как правило, они это делают на сайте платёжной системы или банка. При это платёжная система или банк зачастую дают интернет-магазину возможность настроить внешний вид платёжной страницы таким образом, что у посетителя складывается иллюзия, будто он не покидает сайт интернет-магазина (при этом, в частности, платёжная страница может загружаться в блоке IFRAME с домена банка или платежной системы).
    Возможность обрабатывать реквизиты банковской карты на своём сайте интернет-магазины теоретически имеют, если банк или платёжная система даст им такую возможность. Но на практике банк или платёжная система дают такую возможность крайне редко и только крупным и надёжным интернет-магазинам и сервисам.
    ---
    Описанная уязвимость угрожает скорее владельцам интернет-магазинов, чем клиентам.
    Клиенты лишь могут попасть в базу данных спамеров (ещё бы: ведь это подтверждённо платёжеспособная аудитория: из базы данных видно, что они покупали, когда покупали, где живут, какими товарами интересовались... очень ценная информация).
    ---
    Установка заплатки SUPEE-5344 на Magento: http://magento-forum.ru/topic/5079/
    Исправление сайтов на Magento, взломанных из-за отсутствия заплатки SUPEE-5344: http://magento-forum.ru/topic/5080/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру