forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в платформе электронной коммерции Mag..."
Отправлено opennews, 22-Апр-15 10:15

В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), на основе которой работает более 240 тысяч интернет-магазинов, выявлена (https://ma.ttias.be/magento-ecommerce-php-remote-code-execution/) критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в конфигурациях по умолчанию.

Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344 (https://ma.ttias.be/wp-content/uploads/2015/04/PATCH_SUPEE-5...), при этом из-за соглашения о неразглашении информация об уязвимости обнародована публично только сейчас. Проблема состоит в том, что релизы Magento и патчи с устранением уязвимостей поставляются отдельно, т.е. пользователь должен установить релиз, а потом отслеживать появление патчей и применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке патчей, что потенциально делает их системы уязвимыми. Например, предлагаемый в настоящее время выпуск Magento 1.9.1.0 не включает в себя исправления.

URL: http://www.marketwatch.com/story/media-alert-check-point-dis...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42085

Исходное сообщение
"Критическая уязвимость в платформе электронной коммерции Mag..." Отправлено opennews, 22-Апр-15 10:15
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), на основе которой работает более 240 тысяч интернет-магазинов, выявлена (https://ma.ttias.be/magento-ecommerce-php-remote-code-execution/) критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в конфигурациях по умолчанию. Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344 (https://ma.ttias.be/wp-content/uploads/2015/04/PATCH_SUPEE-5...), при этом из-за соглашения о неразглашении информация об уязвимости обнародована публично только сейчас. Проблема состоит в том, что релизы Magento и патчи с устранением уязвимостей поставляются отдельно, т.е. пользователь должен установить релиз, а потом отслеживать появление патчей и применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке патчей, что потенциально делает их системы уязвимыми. Например, предлагаемый в настоящее время выпуск Magento 1.9.1.0 не включает в себя исправления. URL: http://www.marketwatch.com/story/media-alert-check-point-dis... Новость: https://www.opennet.ru/opennews/art.shtml?num=42085

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), 
> на основе которой работает более 240 тысяч интернет-магазинов, выявлена (https://ma.ttias.be/magento-ecommerce-php-remote-code-execution/) 
> критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере 
> и получить полный доступ к данным интернет-магазина, включая информацию по кредитным 
> картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует 
> в базовой части движка Magento и проявляется в конфигурациях по умолчанию.

> Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344 (https://ma.ttias.be/wp-content/uploads/2015/04/PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh.txt), 
> при этом из-за соглашения о неразглашении информация об уязвимости обнародована публично 
> только сейчас. Проблема состоит в том, что релизы Magento и патчи 
> с устранением уязвимостей  поставляются отдельно, т.е. пользователь должен установить 
> релиз, а потом отслеживать появление патчей и применять их. Многие пользователи 
> Magento оценивают актуальность своей системы по номеру версии и не заботятся 
> об установке  патчей, что потенциально делает их системы уязвимыми. Например, 
> предлагаемый в настоящее время выпуск Magento 1.9.1.0 не включает в себя 
> исправления.

> URL: http://www.marketwatch.com/story/media-alert-check-point-discovers-massive-vulnerability-in-magento-ecommerce-platform-2015-04-20?reflink=MW_news_stmp 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=42085

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру