Magento security patch SUPEE-8788

Magento heeft een nieuwe patch uitgebracht: SUPEE-8788. Deze patch dicht een kritiek veiligheidslek, wat kwaadwillenden in staat stelt om het beheer van de hele shop over te nemen. Het is echt van groot belang zo snel mogelijk de patch te (laten) installeren.

Welk lek dicht SUPEE-8788?

Eén van de lekken die SUPEE-8788 dicht is een remote code execution (RCE) kwetsbaarheid waardoor het voor kwaadwillenden mogelijk wordt code toe te voegen aan de shop en zo het beheer over te nemen.

Impact vergelijkbaar met Shoplift

Gezien de aard van het lek is de kans groot dat er op heel korte termijn een automatische exploit zal verschijnen op de ‘hackersmarkt’. Hiermee wordt het mogelijk het lek geheel automatisch en op grote schaal te misbruiken. Dit maakt dat het lek wereldwijd een zeer grote impact heeft. We schatten in dat het vergelijkbaar is met Shoplift (SUPEE-5344), een lek dat sinds de ontdekking ervan in augustus 2015 nog steeds op grote schaal misbruikt wordt.

We verwachten dat het misbruik van dit lek binnen 72 uur na bekendmaking op grote schaal op gang komt.

Hypernode platform al sinds september een eerste beveiliging

Dankzij nauw contact met Magento (Magento partnerschap) en onze platform setup (standaardisatie en automatische teststraat) hebben we al eind september een platformbrede security fix doorgevoerd. Dit betekent dat alle shops op het Hypernode platform sindsdien al beveiligd zijn met een eerste noodverband. Let wel: het is nog steeds van belang dat je de patch implementeert!

We hebben onze platform fix inmiddels ook gedeeld met Magento, zodat ook andere hostingproviders hiervan gebruik kunnen maken.

Wat moet jij doen?

  1. Voer zo snel mogelijk de patch door die Magento beschikbaar heeft gesteld [zie handleiding]. Of laat het doen door je technische partij. Het is een kwestie van uren voordat de automatische exploits actief uitgevoerd gaan worden.
    Doe dit OOK als je shop op het Hypernode platform staat. Zie de bovengenoemde noodfix als een politieagent voor je deur, maar je slot (je Magento installatie) is nog steeds kapot.
  2. Check na het doorvoeren van de patch op MageReport.com of je het goed hebt gedaan. Het patchen van je shop is helaas niet zo eenvoudig en onze MageReport-ervaring leert ons dat te vaak stappen worden vergeten waardoor de patch niet goed werkzaam is. Controleer dit dus altijd!

Let op: loop je tegen problemen aan bij het installeren van de patch? Kijk dan op Magento Stack Exchange. Hier worden alle SUPEE-8788 problemen en oplossingen vermeld.

Naar_MageReport

 

 

 op

Suzanne verzorgt de marketing en communicatie van Byte. Ze stort zich o.a. op het creëren van interessante content (blogs, video, infographics), werkt mee aan productreleases en is verantwoordelijk voor de communicatie naar onze klanten en partners. In haar vrije tijd houdt ze van hardlopen, Nederlandse hitjes, en we kennen niemand die zo blij kan worden van lekker eten.