Polskie wsparcie PrestaShop

PrestaShop => Aktualności => Wątek zaczęty przez: endriu107 w Lipiec 22, 2016, 09:05:47 pm

Tytuł: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: endriu107 w Lipiec 22, 2016, 09:05:47 pm

Ponieważ część z użytkowników nie śledzi co sie dzieje na forach anglojęzycznych postanowiłem podzielić się z wami niezwykle ważna informacja na temat bezpieczeństwa.

Pełny artykuł do przeczytania tutaj: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

W skrócie mówiąc zostały wykryte błędy w zabezpieczeniach niektórych modułów które moga doprowadzić do poważnych konsekwencji w działniu i bezpieczeństwie naszego sklepu.

Szablon: Warehouse

Wersja starsza niż 3.7.7. jest podatna na ataki dlatego należy jak najszybciej zaktualizować ją.
 
Moduły dołączone do szablonu które również należy zaktualiowac to:
 
Simpleslideshow
Columnadverts
Homepageadvertise
Productpageadverts
 

Inne moduły które mogą być podatne na ataki to:
 
Advancedslider
Attributewizardpro
Columnadverts
Homepageadvertise
Homepageadvertise2
Productpageadverts
Videostab
vtermslidesshow

oraz natywny moduł który jest w każdej instalacji presty:
 
Send to a Friend


Jeśli korzystać z szablonu Warehouse lub któregokolwiek z wyżej wymienionych modułów sugeruje się wyłączyć moduł i zaktualizować go do najnowszej wersji.

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: design4VIP w Sierpień 09, 2016, 07:29:45 pm

ponadto, co mozna wyczytac z tych "fix-ow" nalezy jeszcze zabezpieczyc wszystkie katalogi posiadajace w nazwie "upload" plikiem .htacccess z blokada mozliwosci wykkonywania skryptu PHP. tyczy sie to m.in. modulu AWP i jego katalogu 'file_uploads'. (rozwiazanie/zabezpieczenie dzieki uprzejmosci inten.pl)

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: endriu107 w Sierpień 09, 2016, 08:15:18 pm

Ja jeszcze dodam że do powyższego zestawienia doszedł moduł Smartblog, należy go zaktualizować do wersji przynajmniej 2.0.2. Moduł niestety jest podatny na sqlinjection i sam autor modułu padł ofiarą ataku jak i kilka innych sklepów. Dodatkowo warto w sklepach stosować niestandardowe prefixy tabel które skutecznie utrudniają ataki tą właśnie metodą.

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: west w Sierpień 10, 2016, 12:04:19 am

znalazłem na Git https://github.com/smartdatasoft/smartblog ten moduł i 8 dni temu zostały opublikowane poprawki do niego niestety nie weryfikowałem czy działa. @endriu piszesz o wersji 2.0.2 na git jest 2.1. nic dziwnego, że ktoś się włamał do archiwum :P

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: endriu107 w Sierpień 10, 2016, 05:45:43 am

Tak piszę że przynajmniej 2.0.2 ponieważ ona została wydana 01.08.2016 i jest to pierwsza wersja zabezpieczona. Moduł składa się z kilku komponentów i po wykryciu luki, a tak na prawdę po atakach ponieważ luka została wykryta 6 miesięcy temu, należy zaktualizować również wszystkie komponenty do tego modułu. W chwili obecnej autor wypuścił już łącznie 5 komponentów wraz z głównym, nie pamiętam ile było dokładnie wszystkich ale około 10 więc należy czekać aż autor poprawi pozostałe.

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: west w Sierpień 10, 2016, 08:02:42 am

to się jakoś numeracja nie zgadza :P

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: endriu107 w Sierpień 10, 2016, 03:54:41 pm

Nie wiem na ile wersja z githuba jest zbieżna z modułem udostępnionym na forum prestashop, natomiast każdy zainteresowany może sam prześledzić losy tego modułu: https://www.prestashop.com/forums/topic/545136-prestashop-blog-module/

Tytuł: Odp: WAŻNE informacje na temat bezpieczeństwa sklepu
Wiadomość wysłana przez: west w Sierpień 24, 2016, 08:16:56 am

Cytat: endriu107 w Lipiec 22, 2016, 09:05:47 pm

Ponieważ część z użytkowników nie śledzi co sie dzieje na forach anglojęzycznych postanowiłem podzielić się z wami niezwykle ważna informacja na temat bezpieczeństwa.

Pełny artykuł do przeczytania tutaj: https://www.prestashop.com/forums/topic/544579-major-security-issues-with-few-modules-and-themes/

W skrócie mówiąc zostały wykryte błędy w zabezpieczeniach niektórych modułów które moga doprowadzić do poważnych konsekwencji w działniu i bezpieczeństwie naszego sklepu.

Szablon: Warehouse

Wersja starsza niż 3.7.7. jest podatna na ataki dlatego należy jak najszybciej zaktualizować ją.
 
Moduły dołączone do szablonu które również należy zaktualiowac to:
 
Simpleslideshow
Columnadverts
Homepageadvertise
Productpageadverts
 

Inne moduły które mogą być podatne na ataki to:
 
Advancedslider
Attributewizardpro
Columnadverts
Homepageadvertise
Homepageadvertise2
Productpageadverts
Videostab
vtermslidesshow

oraz natywny moduł który jest w każdej instalacji presty:
 
Send to a Friend


Jeśli korzystać z szablonu Warehouse lub któregokolwiek z wyżej wymienionych modułów sugeruje się wyłączyć moduł i zaktualizować go do najnowszej wersji.

plik .htaccess do blokowania wykonywania plików:

Kod: [Zaznacz]

<IfModule mod_mime.c>
RemoveHandler .php .phtml .php3 .php4 .php5
RemoveType .php .phtml .php3 .php4 .php5
</IfModule>
<IfModule mod_php5.c>
php_flag engine off
</IfModule>