Magento beveiligingslek SUPEE-5344

Ernstig lek in alle versies van Magento gevonden. Onze klanten zijn veilig! U ook?

Ernstig lek

Op 7 februari 2015 is er binnen Magento een beveiligingslek gevonden die grote gevolgen kan hebben voor uw webshop. Kwaadwillende zijn in staat eigen code uit te voeren en daarmee uw hele webshop over te nemen, klanten gegevens buit te maken en/of malware te verspreiden aan u en uw klanten. Alle tot op dit moment verschenen versies van Magento zijn vatbaar voor misbruik.

Oplossing

De ontwikkelaars van Magento hebben een update ter beschikking gesteld die het lek dicht en nieuw misbruik onmogelijk maakt. Wij hebben uiteraard al onze klanten ingelicht, de update uitgevoerd en gecontroleerd of er niet al misbruik was gemaakt van het lek om bijvoorbeeld een backdoor (een mogelijkheid om op een andere manier misbruik te maken van de webshop) toe te voegen. Gelukkig kunnen we melden dat er geen misbruik gesignaleerd is.

Wilt u uw website ook laten updaten om misbruik te voorkomen? Neem dan contact met ons op of vraag een offerte aan!

Technische details

Er zat een fout in de manier waarop Magento bepaalde variabelen opsloeg bij het verwerken van een request. Hierdoor was het mogelijk code te injecteren door bepaalde waardes aan de url toe te voegen waardoor het leek of er een nette afhandeling op de server was terwijl er daadwerkelijk code vanaf buitenaf werd uitgevoerd.

Magento heeft een patch uitgebracht onder de naam SUPEE-5344 voor de nieuwste Magento versies. Voor oudere Magento versies zijn de patches: SUPEE-5345, SUPEE-5346, SUPEE-5341 en SUPEE-5388 uitgebracht.

Helaas krijgen sommige webshops een Hunk failed melding. Deze melding geeft aan dat uw Magento versie niet geschikt is voor deze patch. Mocht u tegen dit probleem aanlopen dan kunnen wij met maatwerk uiteraard alsnog het lek dichten. Neem dus gerust contact met ons op.

Update:
Onze hosting partner heeft een test gemaakt om te zien of uw webshop kwetsbaar is! Doe de shoplift test nu.

Update 2:
CheckPoint heeft een demonstratie video gemaakt van hoe de kwetbaarheid misbruikt zou kunnen worden.

Update 3:
Uit onderzoek blijkt dat er op 23 mei 2015 nog meer dan 65.000 webshops vatbaar zijn. Is uw webshop er hier een van? Wacht niet tot het te laat is maar neem contact met ons op om te zorgen dat u en uw webshopbezoekers veilig zijn.