Magento

Alvorlig sårbarhet lar kriminelle spre skadevare via nettbutikker

Det er viktig at sikkerhetsoppdateringen installeres så raskt som mulig.

Mange nettbutikker har den siste uken måttet installere viktige sikkerhetsoppdateringer.
Mange nettbutikker har den siste uken måttet installere viktige sikkerhetsoppdateringer. (Bilde: Colourbox)

Det er viktig at sikkerhetsoppdateringen installeres så raskt som mulig.

Det Adobe-eide selskapet Magento leverer én av de aller mest brukte programvareplattformene for nettbutikker. Også denne heter Magento. I slutten av forrige uke kom selskapet med svært omfattende sikkerhetsoppdateringer til programvaren. Denne fjerner flere titalls sårbarheter, men det er særlig én sårbarhet som utpeker seg som særdeles alvorlig. 

Spredning av skadevare

Sårbarheten gjør det mulig for selv ikke innloggede brukere å injisere skadevare i nettbutikkene gjennom mal-metoder knyttet til Page Builder-komponenten. Denne skadevaren kan potensielt brukes til å angripe nettbutikkenes kunder.

Les også

Sårbarheten berører bare den nye versjonsserien, 2.3-serien, i versjoner eldre enn 2.3.3 og 2.3.2-p1, hvor den er fjernet. 

Også mange av de øvrige sårbarhetene er alvorlige og kan brukes til å gjøre mye skade, men de aller fleste av disse krever at angriperen er innlogget som en autentisert bruker før de kan utnyttes. 

Utgående produkter

Til gjengjeld berører mange av disse sårbarhetene også den eldre 2.2-er, samt enkelte av 1.x-produktene. Magento skal avslutte støtten for 1.x-produktene i juni 2020, så mange nettbutikker bør allerede nå planlegge en overgang til et nyere produkt. 

Dette gjelder selvfølgelig også brukere av Magento 2.x som ikke har oppdatert til versjon 2.2 eller 2.3. Versjon 2.1 og eldre støttes ikke lenger. 

Vil holde igjen

Magento-programvaren er tilgjengelig både i en «Commerce»- og en «Open Source» som nettbutikker kan administrere selv. Nylig kunngjorde Magento at selskapet heretter skal holde tilbake kunngjøring av sikkerhetsoppdateringer til den åpen kildekode-baserte e-handelsplattformen i to uker etter utgivelsen. Dette fordi åpen kildekode-versjonen er tilgjengelig for alle og dermed relativt enkelt kan brukes til å identifisere sårbarhetene som har blitt lukket.

Les også

Digi.no har tidligere erfart at ikke alle forhandlere er like nøye med å installere de nyeste sikkerhetsoppdateringer. For mange vil det trolig være enklere og sikrere å benytte en av de mange hostingleverandører, også i Norge, som tilbyr Magento som tjeneste.  

Kommentarer (0)

Kommentarer (0)
Til toppen