Новата версия на Magento решава критични уязвимости
Magento може да е надалеч от известността на WordPress в качеството си на CMS платформа, само че обстоятелството, че към 2020, цели 12% от всички уеб сайтове за електронна търговия в WWW са точно на основата на Magento е индикативен за потреблението ѝ. По данни на Hostingtribunal, известността на платформата в последните години пораства скокообразно като броя на уеб страниците на CMS-а са се нараснали двойно сред 2017 и 2018.
Тази статистика прави от Magento все по-популярен обект на офанзиви от страна на разнообразни хакерски групи. В последните години уеб ресурсите на основата на Magento страдат изключително доста от Magecart, способ на офанзива, подобен с този, който нарушителите реализират към банкомати и ATM устройства във физическия свят, прочут като „ скиминг “. Те с триумф употребяват разнообразни способи да компрометират даден уебресурс на основата на Magento, с цел да вградят JavaScript код, посредством който пресичат и крадат въвежданата финансова информация от потребителите на онлайн магазина. Един от публикуваните способи за това е да употребяват дупка в Magento. Именно заради тази причина, в случай че сте админ на Magento апаратура, би трябвало да си инсталирате новата версия на CMS системата, защото в нея биват адресирани съществени проблеми.
Версия 2.3.4 на Magento запушва общо пет новооткрити думпки, като три от тях са с гриф „ сериозни “. Макар и да не дават детайлности за съответните уязвимости, наподобява най-сериозната накърнимост тук е CVE-2020-3718, която разрешава осъществяването на случаен код отдалечено и завладяването на ресурса. Другите две сериозни уязвимости тук са CVE-2020-3719 и CVE-2020-3716, свързани надлежно с опцията за осъществяването на SQL инжектиране и десериализацията на недоверена информация, показват от Adobe.
С предходната версия на софтуера, Adobe (чиято благосъстоятелност е Magento) показаха комфортно решение, което да спести време на притежатели на уеб сайтове на основата на платформата посредством пакети с обновления, ориентирани само към задръстване на дупки в отбраната. Така, актуалните уязвимости, съществуващи във версиите преди 2.3.4 са включени към този момент в Patch 2.3.3.1 (Composer package 2.3.3-p1), само че тук не са включени спомагателните нововъведения във връзка с заздравяването на отбраната, които идват с цялостния пач.
Заедно с това, Adobe осведомят, че от този месец нататък проблемите в сигурността ще бъдат документирани в специфичен бюлетин на компанията и към този момент няма да бъдат описвани в Magento Security Center. Компанията оповестява също, че за да се понижи риска от осъществяване на злотворен код по далечен път, Custom Layout Update полето на CMS Page Edit, Category Edit и Product Edit страниците бива обърнато в селектор.
Тази статистика прави от Magento все по-популярен обект на офанзиви от страна на разнообразни хакерски групи. В последните години уеб ресурсите на основата на Magento страдат изключително доста от Magecart, способ на офанзива, подобен с този, който нарушителите реализират към банкомати и ATM устройства във физическия свят, прочут като „ скиминг “. Те с триумф употребяват разнообразни способи да компрометират даден уебресурс на основата на Magento, с цел да вградят JavaScript код, посредством който пресичат и крадат въвежданата финансова информация от потребителите на онлайн магазина. Един от публикуваните способи за това е да употребяват дупка в Magento. Именно заради тази причина, в случай че сте админ на Magento апаратура, би трябвало да си инсталирате новата версия на CMS системата, защото в нея биват адресирани съществени проблеми.
Версия 2.3.4 на Magento запушва общо пет новооткрити думпки, като три от тях са с гриф „ сериозни “. Макар и да не дават детайлности за съответните уязвимости, наподобява най-сериозната накърнимост тук е CVE-2020-3718, която разрешава осъществяването на случаен код отдалечено и завладяването на ресурса. Другите две сериозни уязвимости тук са CVE-2020-3719 и CVE-2020-3716, свързани надлежно с опцията за осъществяването на SQL инжектиране и десериализацията на недоверена информация, показват от Adobe.
С предходната версия на софтуера, Adobe (чиято благосъстоятелност е Magento) показаха комфортно решение, което да спести време на притежатели на уеб сайтове на основата на платформата посредством пакети с обновления, ориентирани само към задръстване на дупки в отбраната. Така, актуалните уязвимости, съществуващи във версиите преди 2.3.4 са включени към този момент в Patch 2.3.3.1 (Composer package 2.3.3-p1), само че тук не са включени спомагателните нововъведения във връзка с заздравяването на отбраната, които идват с цялостния пач.
Заедно с това, Adobe осведомят, че от този месец нататък проблемите в сигурността ще бъдат документирани в специфичен бюлетин на компанията и към този момент няма да бъдат описвани в Magento Security Center. Компанията оповестява също, че за да се понижи риска от осъществяване на злотворен код по далечен път, Custom Layout Update полето на CMS Page Edit, Category Edit и Product Edit страниците бива обърнато в селектор.
Източник: kaldata.com
КОМЕНТАРИ