Gisteren (7 juli 2015) heeft Magento een nieuwe beveiligingspatch uitgebracht. Deze patch gaat door het leven als SUPEE-6285 en dicht een nieuw lek waarbij er toegang verschaft kan worden tot klantgegevens. Tot op heden zijn er nog geen meldingen gemaakt van misbruik via deze lek, maar toch raadt Magento (en wij ook) sterk aan om deze patch meteen te installeren om uw webwinkel te beschermen.
Deze patch lost de volgende beveiligingsproblemen:
- Het voorkomt dat aanvallers zich kunnen voordoen als beheerders om zo toegang te krijgen tot de feed van uw laatste bestellingen. Deze feed bevat namelijk persoonsgegevens die vervolgens gebruikt kunnen worden om meer gevoelige informatie te verkrijgen in opeenvolgende aanvallen. U kan controleren of dit bij u is voorgevallen door uw server logs te bekijken en na te gaan of iemand toegang probeert te krijgen tot /rss/NEW.
- Het dicht enkele beveiligingslekken waaronder cross-site scripting (XSS), cross-site request forgery (CSRF) en error path disclosure kwetsbaarheden. Dit stelt aanvallers in staat om kwaadaardige scripts uit te voeren op uw website om zo toegang te verschaffen tot privacy gevoelige informatie.
Er bestaan patches voor zowel de Magento Enterprise Edition (versie 1.9 en later) en de Magento Community Edition (versie 1.4.1 t.e.m. 1.9.1.1). Magento Community Edition 1.9.2 bevat deze patch al, patchen voor andere versies kan u downloaden vanaf de Magento website. Magento Enterprise Edition gebruikers kunnen de patch via hun account.
Voordat u deze patch kunt toepassen, is het belangrijk om eerst de eerder uitgebrachte SUPEE-5994 patch te installeren.
Indien u ondersteuning wenst bij het installeren van deze patch, kan u steeds contact opnemen met ons.