Abonner
SIKKERHET

Alvorlig sårbarhet lar kriminelle spre skadevare via nettbutikker

Det er viktig at sikkerhetsoppdateringen installeres så raskt som mulig.

Mange nettbutikker har den siste uken måttet installere viktige sikkerhetsoppdateringer.
Mange nettbutikker har den siste uken måttet installere viktige sikkerhetsoppdateringer. Bilde: Colourbox
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
12. nov. 2019 - 18:00

Det Adobe-eide selskapet Magento leverer én av de aller mest brukte programvareplattformene for nettbutikker. Også denne heter Magento. I slutten av forrige uke kom selskapet med svært omfattende sikkerhetsoppdateringer til programvaren. Denne fjerner flere titalls sårbarheter, men det er særlig én sårbarhet som utpeker seg som særdeles alvorlig. 

Spredning av skadevare

Sårbarheten gjør det mulig for selv ikke innloggede brukere å injisere skadevare i nettbutikkene gjennom mal-metoder knyttet til Page Builder-komponenten. Denne skadevaren kan potensielt brukes til å angripe nettbutikkenes kunder.

Eierne av de norske nettbutikkene Godlyd og Parish, Texas har de siste dagene fjernet alvorlig skadevare fra butikkene.
Les også

Infiserte nettbutikker fjernet skadevare da digi.no tok kontakt

Sårbarheten berører bare den nye versjonsserien, 2.3-serien, i versjoner eldre enn 2.3.3 og 2.3.2-p1, hvor den er fjernet. 

Også mange av de øvrige sårbarhetene er alvorlige og kan brukes til å gjøre mye skade, men de aller fleste av disse krever at angriperen er innlogget som en autentisert bruker før de kan utnyttes. 

Utgående produkter

Til gjengjeld berører mange av disse sårbarhetene også den eldre 2.2-er, samt enkelte av 1.x-produktene. Magento skal avslutte støtten for 1.x-produktene i juni 2020, så mange nettbutikker bør allerede nå planlegge en overgang til et nyere produkt. 

Dette gjelder selvfølgelig også brukere av Magento 2.x som ikke har oppdatert til versjon 2.2 eller 2.3. Versjon 2.1 og eldre støttes ikke lenger. 

Vil holde igjen

Magento-programvaren er tilgjengelig både i en «Commerce»- og en «Open Source» som nettbutikker kan administrere selv. Nylig kunngjorde Magento at selskapet heretter skal holde tilbake kunngjøring av sikkerhetsoppdateringer til den åpen kildekode-baserte e-handelsplattformen i to uker etter utgivelsen. Dette fordi åpen kildekode-versjonen er tilgjengelig for alle og dermed relativt enkelt kan brukes til å identifisere sårbarhetene som har blitt lukket.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Ikke kast bort tiden på dårlige løsninger for videomøter
Magento vil heretter vente med å fortelle hva de har fikset i nettbutikkplattformen, for ikke å gi hackere forsprang.
Les også

Vil holde feilfiks hemmelig i to uker

Digi.no har tidligere erfart at ikke alle forhandlere er like nøye med å installere de nyeste sikkerhetsoppdateringer. For mange vil det trolig være enklere og sikrere å benytte en av de mange hostingleverandører, også i Norge, som tilbyr Magento som tjeneste.  

Les mer om:
MAGENTONETTBUTIKKSÅRBARHETERSIKKERHETSKADEVARE
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra