Arkiv för kategori ‘Säkerhet’

Magento 1.2.1.2 släppt

onsdag, 4 mars, 2009

Magento 1.2.1.1 fixar det tidigare nämnda säkerhetshålet:

This version includes some updates to improve admin security as described in the release notes page.

This release includes an update to the Magento Connect Manager and as such will overwrite index.php and .htaccess files. If you are using the Magento Connect Manager to upgrade your installation please back up your index.php and .htaccess files under your Magento root folder before upgrading and restore them after you are done.

Magento 1.2.1.2: läs ändringsloggen | Diffiler för 1.2.1.2 | ladda ner

Etiketter: , ,
Postat i Ny Magento, Säkerhet | Inga kommentarer »

Säkerhetshål i Magento skapar oro

fredag, 27 februari, 2009

Det började med ett blogginlägg (Google-cache) om att ett allvarligt CSRF-säkerhetshål i Magento kan ge obehöriga tillgång till administrationensdelen i Magento. Säkerhetshålet gäller för Magento version 1.2.1.1 men det är även möjligt att tidigare versioner är drabbade. Varien var inte sena med att ge respons på blogginlägget, men deras lösning - att döpa om URL:en för admin (!) - upplevdes av många att vara en bristfällig krislösning än en gedigen lösning på problemet.

Då det redan finns flera exempel på nätet på hur man kan utnyttja säkerhetshålet, har oberoende utvecklare försökt täppa igenom säkerhetshålet på egen hand. Varien sägs arbeta på en fix men det är oklart när den kommer att släppas.

En konsekvens av denna incident är att Varien har skapat ett subforum dedikerat till säkerhet på MagentoCommerce.com.

Etiketter: , ,
Postat i Säkerhet | Inga kommentarer »