Sicherheit Bug in Magento 2 setzt Verkäufer in Gefahr
ECommerce Berater sind nicht übertrieben, wenn sie ihre Kunden gewarnt zu bleiben und nicht bewegen ihre Magento Läden auf Magento 2, weil die letztere ist noch nicht vorbereitet.
Sicherheitsprobleme weiterhin Jagd Magento 2. Du hast Glück, wenn du den Rat der Experten beachtet hast und noch nicht migriert hast, sonst könntest du einer der 200.000 Online-Verkäufer sein, die gefährdet sind.
Web Security Service Provider DefenseCode erkannte einen Remotecodeausführung (RCE) Bug, der mit einer Funktion in der Magento 2 Software verknüpft ist, die es Administratoren ermöglicht, Videos hinzuzufügen, die auf Vimeo gehostet werden.
Das könnte als Eingang für Hacker dienen, um auf eine Magento Benutzerdatenbank zuzugreifen, einschließlich vertraulicher Informationen und sogar Malware installieren.
Alles, was sie tun müssen, ist, einen Benutzer zu locken, um eine URL herunterzuladen, die eine .htaccess-Datei und eine PHP-Datei enthält.
Sobald sie das erreicht haben, können sie das System des Benutzers von einem entfernten Server aus leicht manipulieren.
Während des Sicherheitsaudits der Magento Community Edition wurde eine Sicherheitsanfälligkeit mit hohem Risiko festgestellt, die zu einer Remotecodeausführung und damit zu einem kompletten Systemkompromiss führen könnte, einschließlich der Datenbank, die sensible Kundeninformationen wie gespeicherte Kreditkartennummern und andere Zahlungsinformationen enthält, sagte DefenseCode In ihrer beratung
Sie fügten hinzu, dass die betroffenen Versionen der Magento Community Edition Software v.2.1.6 und unten enthalten.
Beruhigung von Magento
Obwohl sie noch keine wirklichen Angriffe gehört haben, versicherte Magento ihren Kunden, dass sie schon in die Sache schauen.
Auch das Unternehmen hat hilfreiche Schritte empfohlen, die die Sicherheit der Daten ihrer Kunden sicherstellen.
Wir haben die Grundursache des gemeldeten Problems aktiv untersucht und sind keine Angriffe in der Wildnis bewusst. Wir werden das Thema in unserem nächsten Patch-Release ansprechen und weiterhin konsequent arbeiten, um unsere Sicherungsprozesse zu verbessern, sagten sie.
Um ihre Benutzer vor möglichen Sicherheitsangriffen zu schützen, schickte Magento eine E-Mail aus, die die Schritte zum Einschalten der Option Geheime Schlüssel zu URLs hinzufügen enthält.
Denken Sie, dass Ihr Magento 2 System gefährdet ist? Folge diesen Schritten:
1.Log on auf Merchant Site Admin URL (zB Ihr domain.com/admin)
2.Klicken Sie auf Stores> Konfiguration> ADVANCED> Admin> Sicherheit> Geheime Schlüssel zu URLs hinzufügen
3.Wählen Sie JA aus den Dropdown-Optionen
4.Klicken Sie auf Save Config
Vielleicht haben wir uns wie ein gebrochener Rekord geklingt und erzählt Ihnen immer wieder, dass Magento 2 noch nicht bereit ist, aber wir sind so froh, dass wir es getan haben.
ECommerce Berater sind nicht übertrieben, wenn sie ihre Kunden gewarnt zu bleiben und nicht bewegen ihre Magento Läden auf Magento 2, weil die letztere ist noch nicht vorbereitet.
Sicherheitsprobleme weiterhin Jagd Magento 2. Du hast Glück, wenn du den Rat der Experten beachtet hast und noch nicht migriert hast, sonst könntest du einer der 200.000 Online-Verkäufer sein, die gefährdet sind.
Web Security Service Provider DefenseCode erkannte einen Remotecodeausführung (RCE) Bug, der mit einer Funktion in der Magento 2 Software verknüpft ist, die es Administratoren ermöglicht, Videos hinzuzufügen, die auf Vimeo gehostet werden.
Das könnte als Eingang für Hacker dienen, um auf eine Magento Benutzerdatenbank zuzugreifen, einschließlich vertraulicher Informationen und sogar Malware installieren.
Alles, was sie tun müssen, ist, einen Benutzer zu locken, um eine URL herunterzuladen, die eine .htaccess-Datei und eine PHP-Datei enthält.
Sobald sie das erreicht haben, können sie das System des Benutzers von einem entfernten Server aus leicht manipulieren.
Während des Sicherheitsaudits der Magento Community Edition wurde eine Sicherheitsanfälligkeit mit hohem Risiko festgestellt, die zu einer Remotecodeausführung und damit zu einem kompletten Systemkompromiss führen könnte, einschließlich der Datenbank, die sensible Kundeninformationen wie gespeicherte Kreditkartennummern und andere Zahlungsinformationen enthält, sagte DefenseCode In ihrer beratung
Sie fügten hinzu, dass die betroffenen Versionen der Magento Community Edition Software v.2.1.6 und unten enthalten.
Beruhigung von Magento
Obwohl sie noch keine wirklichen Angriffe gehört haben, versicherte Magento ihren Kunden, dass sie schon in die Sache schauen.
Auch das Unternehmen hat hilfreiche Schritte empfohlen, die die Sicherheit der Daten ihrer Kunden sicherstellen.
Wir haben die Grundursache des gemeldeten Problems aktiv untersucht und sind keine Angriffe in der Wildnis bewusst. Wir werden das Thema in unserem nächsten Patch-Release ansprechen und weiterhin konsequent arbeiten, um unsere Sicherungsprozesse zu verbessern, sagten sie.
Um ihre Benutzer vor möglichen Sicherheitsangriffen zu schützen, schickte Magento eine E-Mail aus, die die Schritte zum Einschalten der Option Geheime Schlüssel zu URLs hinzufügen enthält.
Denken Sie, dass Ihr Magento 2 System gefährdet ist? Folge diesen Schritten:
1.Log on auf Merchant Site Admin URL (zB Ihr domain.com/admin)
2.Klicken Sie auf Stores> Konfiguration> ADVANCED> Admin> Sicherheit> Geheime Schlüssel zu URLs hinzufügen
3.Wählen Sie JA aus den Dropdown-Optionen
4.Klicken Sie auf Save Config
Vielleicht haben wir uns wie ein gebrochener Rekord geklingt und erzählt Ihnen immer wieder, dass Magento 2 noch nicht bereit ist, aber wir sind so froh, dass wir es getan haben.