SUPEE-6788

SUPEE-6788

Rene Donkers One comment
Magento CE 1

Magento heeft een dringende veiligheids waarschuwing uitgebracht voor Magento webshops. Kwaadwillenden kunnen via extenties de admin URL achterhalen en daar dan brute-force attac’s oplos laten. Het dringende advies is dan ook om de magento installatie te updaten naar 1.9.2.2 Door alleen is deze update te uitvoeren wordt het veiligheids lek niet verholpen. In de configuratie van Magento moet de beveiliging (Admin routing compatibility mode for extensions) nog uitgezet worden, maar dan beginnen de problemen. Veel extenties zijn (nog) niet compatible en werken niet als de functie wordt uitgezet.

Het probleem zit onder andere in het aanroepen van de custom admin URL, deze code zal moeten aangepast worden in de extentie. Je kan de ontwikkelaars vragen om een nieuwere versie van de code waar dit is aangepast of je kan zelf aan de slag gaan om dit te gaan aanpassen. Lees hier het technical sheet van Magento.

<admin>
<routers>
<custom_module>
<use>admin</use>
<args>
<module>custom_module</module>
<frontName>custom_module</frontName>
</args>
</custom_module>
</routers>
</admin>

moet aan gepast worden tot:

<admin>
<routers>
<adminhtml>
<args>
<modules>
<custom_module
after="Mage_Adminhtml">CustomModule_Adminhtml</custom_module>
</modules>
</args>
</adminhtml>
</routers>
</admin>

Gelukkig is er al een toolbox voor ontwikkelaars om te helpen. Als je shell toegang hebt op de server, kan deze tool je prima helpen om de knelpunten te lokaliseren. Plaats de bestanden in de [Magento]/shell en analyseer je bestanden door middel van het commando

php -f fixSUPEE6788.php -- analyze 

In de [magento]/var/log/ wordt een logbestand neer gezet met de rapportage waarmee je aan de slag kan om de verschillende extensies aan te passen. Vergeet niet een back-up te maken.

 

1 Comment

Hosting

december 19, 2016 at 1:45 am

I have Magento with Intenso Theme installed and recently they have a new patch came out which breaks a lot of stuff. The patch number 6788.

 Reply

Leave a Reply