文章彙整

Magento 原廠針對企業版及社群版用戶發布重大安全性更新

By Astral Web 2 years agoNo Comments
首頁  /  Magento  /  Magento消息  /  Magento 原廠針對企業版及社群版用戶發布重大安全性更新

Magento Enterprise and Community Edition user security updates

受到許多跨國電商公司愛用的Magento在10月11日發布了重要的安全性更新訊息。

這次的更新編號為SUPEE-8788,旨在強化Magento企業版1.14.3以及社群版1.9.3之前版本的安全性以抵抗資料庫隱碼攻擊、cache poision等重大問題。

使用較舊Magento版本的電商網站可以安裝SUPEE-8788安全包或升級到企業版1.14.3以及社群版1.9.3。

 

如果您的公司是企業版的用戶,請參考這個網頁(https://magento.com/security/patches/supee-8788)的說明,到MY ACCOUNT → Downloads Tab → Magento Enterprise Edition 1.X → Magento Enterprise Edition 1.x → Support and Security Patches → Security Patches → Security Patches → October 2016 下載安全包安裝。

如果您是社群版1.9.x版本的使用者,您可以到這個位址 https://www.magentocommerce.com/download#download1934 下載安全包,對於更早版的的使用者,Magento 原廠表示會盡快提供1.5.x到1.8.x版的安全包安裝。

 

這次的修復項目中較重要的項目有:

 

APPSEC-1484 – Remote Code Execution in checkout

說明:某些付款方式有可能會在結帳流程中執行惡意的php程式碼。

影響版本:Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

 

APPSEC-1480 – SQL injection in Zend Framework

說明:入侵者有可能利用Zend Framework的弱點,對資料庫下惡意的SQL指令。

影響版本:Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

 

APPSEC-1488 – Stored XSS in invitations

說明:企業版的invitations功能有可能會被利用並放進惡意的Javascript。

影響版本:Magento EE prior to 1.14.3

 

APPSEC-1247 – Block cache exploit

說明:擁有管理者權限的使用者有機會利用CMS功能上的漏洞,刪除存在cache中的資料,這些資料可能包含商店組態、加密金鑰、以及資料庫連線的詳細資訊等敏感資料。

影響版本:Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

 

APPSEC-1517 – Log in as another customer

說明:在某些非常特殊的設定下,有心人可能有機會在僅知道會員email而不知道密碼的情況下就登入這個會員的帳號。

影響版本:Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

 

APPSEC-1375 – Remote Code Execution in admin

說明:後台現有的資料匯出匯入功能沒有確實檢查要被處理的資料,因此有管理員權限的惡意攻擊者有機會執行惡意程式碼。

影響版本:Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

 

完整的修復項目請到這個說明網頁https://magento.com/security/patches/supee-8788 查詢。Magento的電商經營者除了應該儘速安裝 security patch之外,也要注意保護好後台管理帳號密碼,以免給有心人可乘之機。

 

如果您有任何問題,歡迎您聯絡歐斯瑞

 

以上內容由Astralweb 歐斯瑞編寫製作

 000

推薦文章

Categories:
  Magento消息Magento

留下回應

你的電子郵件地址不會被公開.

取得獨家電子商務祕技

建立更好的策略靈感

跟上全球的網路趨勢

絕佳的電商解決方案

電子商務戰略全指南

每月發送電商戰略指南,只要填寫E-mail即可訂閱!

請到您的信箱確認,即可完成訂閱。