Faille de sécurité zend découverte
juillet 6, 2012 1 CommentairesNous avons appris récemment d’une vulnérabilité grave dans la plate-forme Zend sur lequel Magento est construit. La vulnérabilité permet potentiellement à un attaquant de lire n’importe quel fichier sur le serveur Web où la fonctionnalité est activée Zend XMLRPC. Cela pourrait inclure des fichiers de mots de passe, fichiers de configuration et peut-être même des bases de données, si elles sont stockées sur la même machine que le serveur web Magento.
Solution
Nous recommandons d’installer le dernier patch approprié pour magento :
Magento Enterprise Edition et Professional marchands Edition:
Vous pouvez accéder le patch de mise à niveau de sécurité de Zend correctifs et de soutien pour votre site dans la section Téléchargements de votre compte Magento.
Télécharger
Magento Community Edition: marchands
Community Edition 1.4.0.0 par 1.4.1.1
Community Edition 1.4.2.0
Community Edition 1.5.0.0 par 1.7.0.1
Solution
Si le patch ne peut pas être appliquée immédiatement, les instructions suivantes peuvent vous servir pour désactiver temporairement la fonctionnalité RPC qui contient la vulnérabilité. S’il vous plaît noter, les intégrations qui reposent sur la fonctionnalité XMLRPC API ne fonctionnera plus après cette solution.
1. Sur le serveur Web de Magento, accédez à l’www-racine où les fichiers Magento app sont stockés.
2. Dans le wwwroot, accédez à / app / code / core / Mage / Api / contrôleurs.
3. Ouvrez XmlrpcController.php pour l’édition.
4. Commentez ou supprimer le corps de la méthode: indexAction publique ()
5. Enregistrez les modifications.
Notes complémentaires
Les utilisateurs disposant de la capacité existante IDS peut surveiller l’interface RPC de regarder pour des attaques. Comme toujours, nous recommandons de maintenir une installation mise à jour de la plate-forme Magento.
Les dernières versions de Magento Community Edition (01/07/02 et 01/12/02 Enterprise Edition) d’intégrer les correctifs appropriés. s’il vous plaît utiliser les versions correctes des rejets 1.7.0.2 et 1.12.0.2.
Lire la suite ici
En gros soit vous appliquer le patch
Soit vous désactiver XMLRPC
Soit la meilleure solution, mettre à jour magento en 1.7.0.2
Encore 50% des site web sont vulnérables, cette faille s’appelle une injection XXE. C’est très dangereux. les cybercriminels peuvent voler toutes les donnes de la base de données et en plus cette faille et assez nouvelle, nous la détectons dans plus de 60% des sites web auditées.
Les protections actuelles ne protègent pas contre cette faille, c’est pour sa qu’il faut absolument mettre à jour son CMS le plus vite possible
RsnycON