Magento waarschuwt webwinkels voor ernstig beveiligingslek
De zeer populaire webshopsoftware Magento waarschuwt webwinkels voor een ernstig beveiligingslek waar vorige maand al een patch voor verscheen. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller kwaadaardige code op de website uitvoeren en zo de webshop overnemen.
Webshops die de beveiligingsupdate nog niet hebben geïnstalleerd wordt aangeraden de patch zo snel als mogelijk te installeren en webwinkels die dit al wel hebben gedaan moeten een aanvullende controle uitvoeren. De kans bestaat namelijk dat aanvallers de webshop al voor de installatie van de update hebben gecompromitteerd.
Op 8 oktober verscheen de "Magento 2.3.3 en 2.2.10 Security Update" die 56 kwetsbaarheden verhelpt in Magento Commerce 2.3.1, Magento Commerce 2.3.2 en niet ondersteunde versies van Page Builder, zoals Page Builder Beta. Eén van de beveiligingslekken is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Via dit lek kan een aanvaller op afstand willekeurige code uitvoeren. Hoewel de update al een maand beschikbaar is ziet het Magento Security Team zich genoodzaakt om webwinkels op de patch te wijzen.
De afgelopen maanden wisten criminelen via beveiligingslekken in Magento op duizenden webwinkels kwaadaardige code te plaatsen die creditcardgegevens van klanten stal. Updates voor de aangevallen kwetsbaarheden waren wel beschikbaar, maar niet door de beheerders van de webshops geïnstalleerd. Ook via de in oktober verholpen beveiligingslekken kunnen aanvallers kwaadaardige code toevoegen die creditcardgegevens steelt.
Het alleen installeren van de update is niet voldoende. Webwinkels die dit al hebben gedaan krijgen het advies om de veiligheid van hun website te controleren en te bevestigen dat die niet voor de upgrade is gecompromitteerd. "Het installeren van de hotfix of upgraden beschermt je shop tegen toekomstige aanvallen, maar verhelpt niet de gevolgen van een eerdere aanval", aldus het Magento Security Team.
Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .
Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .
Geen surfprivacy met Wappalizer:
"Any time you use the extension to analyze a website, the extension sends basic, limited information including the domain name of the website you have visited and what application was identified on it. This data is retained in Wappalyzer's server logs and protected according to our general Privacy Policy but may be sold to or shared with our third party partners. At no time can this data be traced back to you personally, since no personally identifiable information is stored."
Lees dit:
https://devdocs.magento.com/guides/v2.3/comp-mgr/cli/cli-upgrade.html
Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .
Geen surfprivacy met Wappalizer:
"Any time you use the extension to analyze a website, the extension sends basic, limited information including the domain name of the website you have visited and what application was identified on it. This data is retained in Wappalyzer's server logs and protected according to our general Privacy Policy but may be sold to or shared with our third party partners. At no time can this data be traced back to you personally, since no personally identifiable information is stored."
1. Het is anonimized. (Je moet ze wel geloven ja).
2. Daarnaast: "Anonymously send identified technologies to wappalyzer.com" is een uit te vinken optie.
Ik ben behoorlijk van de privacy, maar ik zie het probleem niet zo. Ze zien dus dat er iemand checkt welke software de een of andere webshop draait.
Zelf gebruik ik het om een paar webshops te scannen en dan verwijder ik het weer. Dat is een paar seconden werk. Daarnaast zit ik achter een VPN. Maar je kunt het ook uitvinken.
En met PHP (de rode draad aanwezig in al deze brakke websites).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
