The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в платформе электронной коммерции Mag..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от opennews (ok) on 22-Апр-15, 10:15 
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), на основе которой работает более 240 тысяч интернет-магазинов, выявлена (https://ma.ttias.be/magento-ecommerce-php-remote-code-execution/) критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в конфигурациях по умолчанию.


Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344 (https://ma.ttias.be/wp-content/uploads/2015/04/PATCH_SUPEE-5...), при этом из-за соглашения о неразглашении информация об уязвимости обнародована публично только сейчас. Проблема состоит в том, что релизы Magento и патчи с устранением уязвимостей  поставляются отдельно, т.е. пользователь должен установить релиз, а потом отслеживать появление патчей и применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке  патчей, что потенциально делает их системы уязвимыми. Например, предлагаемый в настоящее время выпуск Magento 1.9.1.0 не включает в себя исправления.


URL: http://www.marketwatch.com/story/media-alert-check-point-dis...
Новость: http://www.opennet.me/opennews/art.shtml?num=42085

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Sluggard (ok) on 22-Апр-15, 10:15 
Из российских интеренет-магазинов кто-нибудь использует, интересно?
А то переживаю, вдруг данные моей QVV уведут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Критическая уязвимость в платформе электронной коммерции Mag..."  +2 +/
Сообщение от Аноним (??) on 22-Апр-15, 10:34 
Конечно используют, на нём 30% всех интернет-магазинов работает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Sluggard (ok) on 22-Апр-15, 10:37 
> Конечно используют, на нём 30% всех интернет-магазинов работает.

Но конкретики нам, конечно, не узнать. Жаль.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Критическая уязвимость в платформе электронной коммерции Mag..."  +4 +/
Сообщение от тоже Аноним email(ok) on 22-Апр-15, 13:38 
Если лень бросить гуглю пару слов - ни в жисть не узнать, конечно.
http://magento-forum.ru/topic/4642/
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (??) on 22-Апр-15, 13:14 
Там by design всё делает программист, от и до.
Как оказывается ещё и апдейтить должен программист o_O
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от SkyRanger email(ok) on 23-Апр-15, 02:28 
Может я что-то путаю но по законам РФ хранить инфу о кредитках НИЗЗЯ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от KK on 23-Апр-15, 10:49 
Не по российским законам, а по стандартам платёжных систем
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Критическая уязвимость в платформе электронной коммерции Mag..."  +/
Сообщение от Классический анонимус on 24-Апр-15, 06:00 
У меня Hertz (аренда авто) снял с карточки 36 ойро через ПОЛГОДА после того как я из отпуска вернулся. Пожаловался в банк, вернули, но хз может банк терпилой остался, а не ХЕРц.

Так что храните деньги в банке, стеклянной. И карточку перевыпускайте раз в полгода-год на всякий ;)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Установка заплатки SUPEE-5344 на Magento"  +/
Сообщение от Дмитрий Федюк email on 26-Апр-15, 22:54 
Magento не хранит данные банковских карт в открытом виде.
Более того, крайне мало интернет-магазинов вообще обрабатывают реквизиты банковской карты непосредственно на своём сайте: как правило, они это делают на сайте платёжной системы или банка. При это платёжная система или банк зачастую дают интернет-магазину возможность настроить внешний вид платёжной страницы таким образом, что у посетителя складывается иллюзия, будто он не покидает сайт интернет-магазина (при этом, в частности, платёжная страница может загружаться в блоке IFRAME с домена банка или платежной системы).
Возможность обрабатывать реквизиты банковской карты на своём сайте интернет-магазины теоретически имеют, если банк или платёжная система даст им такую возможность. Но на практике банк или платёжная система дают такую возможность крайне редко и только крупным и надёжным интернет-магазинам и сервисам.
---
Описанная уязвимость угрожает скорее владельцам интернет-магазинов, чем клиентам.
Клиенты лишь могут попасть в базу данных спамеров (ещё бы: ведь это подтверждённо платёжеспособная аудитория: из базы данных видно, что они покупали, когда покупали, где живут, какими товарами интересовались... очень ценная информация).
---
Установка заплатки SUPEE-5344 на Magento: http://magento-forum.ru/topic/5079/
Исправление сайтов на Magento, взломанных из-за отсутствия заплатки SUPEE-5344: http://magento-forum.ru/topic/5080/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру