Nieuwe beveiligingsupdate Supee-8788
Na een periode van relatieve rust binnen het Magento platform is er afgelopen week een nieuwe beveiligingspatch uitgebracht, de Supee-8788. De Supee-8788 dicht een kritiek beveiligingslek welke kwaadwillende in staat stelt om door middel van kwaadaardige code-injecties het beheer van de hele shop over te nemen. Gezien de aard van het veiligheidslek en de mogelijkheden voor kwaadwillende is het echt van belang om deze beveiligingspatch zo snel mogelijk te installeren.
Welk lek wordt er gedicht door de Supee-8788?
De supee-8788 dicht verschillende lekken. Één van de belangrijkste en gevaarlijkste lekken, is de zogenaamde remote code execution (RCE) kwetsbaarheid. Door RCE is het mogelijk voor kwaadwillende om code toe te voegen aan de webshop om vanuit hier het beheer te kunnen overnemen. De bovenstaande omschrijving van de RCE methode is een versimpelde weergave van het probleem. Het is dus niet letterlijk zo eenvoudig als het hierboven beschreven staat.
Impact Supee-8788
Gezien de aard van het ontdekte veiligheidslek is de verwachting dat erop zeer korte termijn een zogenaamde exploit zal verschijnen. Deze exploit wordt door hackers gebruikt om op zeer grote schaal, geautomatiseerd, verschillende Magento installaties “aan te vallen”. Iets dergelijks zagen we ook gebeuren net na de ontdekking van het veiligheidslek welke gedicht werd door Supee-5344
Webshops die niet – tijdig – actie hebben ondernomen op de bugfix van supee 5344 hebben op grote schaal last gekregen van een daadwerkelijke hack.
Een dergelijke impact verwachten wij ook voor de bugfix van Supee-8788. Het is dan ook van groot belang dat de bovenstaande bugfix binnen een week wordt doorgevoerd. Zo verzeker je jouw webshop van aanvallen van buitenaf.
Op welke Magento versies heeft deze bugfix betrekking?
Op alle Magento 1.5 tot 1.9.2.4 community varianten. Voor alle Magento Enterprise Edities van 1.9 tot 1.14.24.
Deze bugfix heeft geen betrekking op Magento 2.0.
Hoe kan ik de Supee-8788 installeren?
Download hier de patch op de website van Magento en volg de stappen om de patch succesvol te installeren. Je kunt er ook voor kiezen om je Magento installatie te updaten naar de laatste Community editie, 1.9.3 of laatste Enterprise Editie 1.14.3
Controleer na het patchen van jouw Magento installatie of alles op jouw webshop nog naar behoren werkt. Bekende problemen die ontstaan na installatie van de patch worden besproken op http://magento.stackexchange.com/questions/140550/security-patch-supee-8788-possible-problems
Verder is het van belang om de patch alleen uit te voeren indien alle voorgaande patches succesvol zijn geïnstalleerd in jouw Magento omgeving.
Veiligheid Magento platform
Door het uitkomen van een dergelijke Magento bugfix kunnen er wellicht twijfels bij je ontstaan over de veiligheid van het platform voor jouw webshop. Een begrijpelijke gedachte gezien de ernst van dit veiligheidslek.
We vinden het in het licht daarvan belangrijk om aan te geven dat dit slechts de tweede veiligheidsupdate dit jaar is welke Magento openbaar bekend maakt. Met een wereldwijd gebruik van miljoenen websites is dat een relatief laag aantal. Door het wereldwijde gebruik van de Open Source codering van Magento is het platform aantrekkelijk voor hackers om mogelijke “open” achterdeuren te vinden. Alle Open Source pakketten zijn altijd onderhevig aan een vergrotte interesse door aanvallen van kwaadwillende. Immers, heb je een achterdeur gevonden dan kun je dit direct toepassen op honderdduizenden websites. In vergelijking met andere open source pakketten zijn deze beveiligingsupdates niet buitensporig veel. Als je jouw Magento platform up to date houdt, onder andere met deze beveiligingsupdates dan kun je met een gerust hart vertrouwen op de veiligheid en stabiliteit van jouw webshop.
Twijfel je over de veiligheid van je Magento platform op hulp nodig bij de patch van Supee-8788?
We helpen je graag verder met de installatie of het beoordelen van jouw Magento website. Neem dan vrijblijvend contact met ons op, dan nemen we het één en ander graag met je door.
