image

Adobe rolt laatste Magento 1-beveiligingsupdates uit voor 90.000 webwinkels

dinsdag 23 juni 2020, 10:31 door Redactie, 6 reacties

Adobe heeft de laatste beveiligingsupdates uitgerold voor webwinkelsoftware Magento 1, wat inhoudt dat meer dan 90.000 tot 99.000 webwinkels geen patches meer zullen ontvangen. Nieuw ontdekte kwetsbaarheden zullen niet meer door het softwarebedrijf worden verholpen. Daardoor lopen webwinkels die van Magento 1 gebruik blijven maken groter risico op aanvallen.

Er zijn twee versies van Magento 1 in omloop, namelijk Magento Commerce en Magento Open Source. Volgens meetwebsite SimilarTech zijn er ruim 99.000 webshops die van Magento 1 gebruikmaken. Built With komt uit op zo'n 90.000 websites. In het verleden zijn kwetsbaarheden in Magento geregeld door criminelen gebruikt om kwaadaardige code aan websites toe te voegen om zo persoons- en creditcardgegevens van klanten te stelen.

Ook de laatste beveiligingsupdates voor Magento Commerce 1 en Magento Open Source 1 verhelpen twee kwetsbaarheden waardoor dit mogelijk is. Het gaat om PHP Object Injection waardoor een aanvaller willekeurige code kan uitvoeren en stored cross-site scripting waarmee een aanvaller gevoelige informatie kan stelen. In het geval van deze twee kwetsbaarheden moet een aanvaller wel al over beheerdersrechten beschikken om er misbruik van te maken.

In april werden webwinkels nog door creditcardmaatschappij Visa op het einde van de ondersteuning van Magento 1 gewezen. Volgens het bedrijf zijn webwinkels die van Magento 1 gebruik blijven maken niet meer compliant met de Payment Card Industry Data Security Standards (PCI DSS), een internationale beveiligingsstandaard waarin wordt omschreven hoe er met betaalkaartgegevens van klanten moet worden omgegaan. Webwinkels die PCI-compliant willen blijven krijgen van Visa het advies om te migreren naar een platform dat nog wel wordt ondersteund met beveiligingsupdates.

Reacties (6)
23-06-2020, 10:43 door Anoniem
Criminelen zullen zegen vieren :(
23-06-2020, 11:09 door Anoniem
Zelfde melding geven als voor flash.... please delete! https://www.security.nl/posting/661506/Adobe+roept+gebruikers+op+om+Flash+Player+voor+2021+te+verwijderen

TheYOSH
23-06-2020, 12:28 door Briolet
Magento 2.0 is al sinds 2015 beschikbaar. Misschien tijd om eens te upgraden?
23-06-2020, 12:58 door Anoniem
Zolang er alleen maar interesse is of een website goed draait, maar niet of ie wel veilig is, zal dit doorgaan en ook nog steeds erger worden. Tot het moment dat er minimale eisen zullen worden gesteld aan website-beveiliging en vastgesteld wie zich ermee bezig kunnen houden (met het ontwerpen en ontwikkelen van redelijk veilige websites) en zware boetes zullen worden uitgedeeld aan wie schade veroorzaakt, zowel potentieel als reeel en zowel kwaadwillig als financieel, zal er niets maar dan ook niets veranderen.

Het bovenstaande geldt zeer zeker voor alle op PHP gebaseerde CMS met Word Press voorop.
Dat geldt ook voor Magento, maar in iets geringere mate ook voor Drupal.

Magento sites kunt u checken op onveiligheid hier: https://www.magereport.com/

Mijn reactie op dergelijk nieuws wordt derhalve zeer eentonig. Wat je ook schrijft, het helpt geen zier. Geen ene moer.

Voor Internet veiligheid is de eindgebruiker of de "Internet-bladeraar" in heel veel gevallen volledig op zichzelf teruggeworpen. "Gebruik Internet veilig en besef vooral dat een ander het niet voor je zal doen.
Zelfs niet je eigen overheid". De goeden zoals Willem de G, Sucuri team leden, JS Foundation niet te na gesproken.
Maar die doen het met een commerciele intentie. Niet om de gemeenschapo belangeloos te helpen,
zoals qualified malware removers e.d., bevlogenen, die hopen op navolging.

Het is net als met dat dropmerk: "Het zou verboden moeten worden".
Maar helaas, pindakaas en tegenwoordig zit die ook nog vol eco-laakbare palmolie".

Gebruik een goede script- en ad-blocker en een url-sanitizer onder alle omstandigheden.
Hou de vizieren gesloten. Ik strijd al veertien jaar voor een betere website security. Nu jullie nog.
Letterlijk duizenden 3rd party cold recon website scans geanalyseerd. Resultaten????
Waardering????? -...... en het wordt je ook nog soms nog niet eens in dank afgenomen.

luntrus
23-06-2020, 13:30 door Anoniem
Opensource... Gewoon een fork draaien? Immers je kunt dit gewoon zelf onderhouden. Dat was toch de kracht van OpenSource?

Of zit het toch allemaal iets anders in elkaar.
23-06-2020, 13:31 door eMilt
Door Briolet: Magento 2.0 is al sinds 2015 beschikbaar. Misschien tijd om eens te upgraden?
Maar het mag ook wel gezegd worden dat het pas sinds Magento 2.3 (November 2018) echt wijs is om die stap te maken. Daarvoor waren er toch best veel problemen en was het bovenal erg langzaam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.