Alvorligt sikkerhedshul: Webbutikker kan være i fare

Webbutikker kan rammes af en alvorlig sikkerhedsfejl. Hackere kan opnå administratorrettigheder blot ved at registrere sig som kunder. Firmaet bag systemet har kendt til fejlen i to måneder.

Netbutikker verden over kan blive ramt af svindlere, der udnytter en svaghed i onlinehandelsplatformen Magento, rapporterer Ars Technica.

Problemet, som blev opdaget af sikkerhedsfirmaet Sucuri, ligger i en cross-site scripting fejl (XSS), som lader udefrakommende tilføje script til netbutikker, som kører Magento enterprise edition eller Comunity edition.

Luskede typer kan nemlig tilføje et Javascript, når de registrerer sig som kunder i netbutikkerne. Magento eksekverer scriptet og vupti, så kan man overtage netbutikkens server.

"Angribere kan bruge den her svaghed til at overtage din hjemmeside, oprette administratorkonti, stjæle kundedata, alt hvad en reel administrator har lov til at gøre," forklarer vulnerability researcher hos Sucuri, Marc-Alexandre Montpas, på Sucuris hjemmeside.

To måneder uden en rettelse
Selvom der er tale om en alvorlig fejl, som potentielt kan påvirke millioner af netbutikker, havde Magento tilsyneladende ikke travlt med at rette den.

Sucuri opdagede fejlen 10. november sidste år og meldte den straks til Magento.

Men der måtte næsten en måned og en rykker til, før Magento overhovedet anerkendte, at firmaet havde modtaget advarslen, og først 20. januar var Magento klar med et patch, forklarer Sucuri.

Sådan løser du problemet
Nu hvor Magento har udgivet et patch, er problemet heldigvis hurtigt løst. Men hvis du bruger en version af Magento, der er ældre end Enterpise 1.14.2.3 eller Community 1.9.2.3, skal du skynde dig at opdatere.

Og så kan du for resten trøste dig med, at du er i godt selskab.

Magento bryster sig nemlig af sine berømte kunder. Og det er ikke amatører, der sælger hjemmehæklede sokker fra dagligstuen, men giganter som Nike og Olympus, som bruger Magentos platform.

Det kan man se på Magentos hjemmeside, som pudsigt nok ikke gør et større nummer ud af det nyeste patch.

Læs også: Alle danske webbutikker skal linke til dette site om en måned



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
AlfaPeople A/S
Salg, implementering, udvikling og support af software og it-løsninger inden for CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere



Tips og tricks med Excel - Gratis inspirationsseminar

Kom til et spændende inspirationsseminar, der giver dig indsigt i hvordan Excel også kan benyttes til opgaver, som du måske ikke i dag bruger programmet til. Læs mere



Skygge-it

Mange it-afdelinger kæmper for at håndtere det kontrol-tab, der følger med, når medarbejdere og afdelinger begynder at anskaffe egne it-løsninger, som ikke nødvendigvis er koordineret eller godkendt af it-afdelingen. På dette How To seminar får du overblik over værktøjer og metoder til at håndtere skygge-it, så du genvinder kontrollen og minimerer it-sikkerheds-risikoen. Læs mere







CIO
Skandalerne i Skat er en urimelig sejr for de digitaliserings-modvillige
Klumme: Skandalerne i Skat er en vigtig sejr for dem, som ikke tror på digitalisering af den offentlige sektor. Og Skats problemer bliver ikke løst af organisationsændringer.
Comon
25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Fakta, Netto, Aldi, Lidl, Lego og flere andre varemærker bliver lige nu udnyttet i forbindelse med kuponsvindel på Facebook, og danskerne klikker i hobetal. Læs hvad der sker, hvis du klikker.
Channelworld
Dansk hosting-direktør: På disse tre områder banker danske hosting-firmaer Microsoft og Amazon af banen
Den danske hostingbranche er godt polstret til at modstå konkurrencen fra globale cloud-spillere som Amazon og Microsoft. Her er tre grunde til, at danske hostingudbydere ikke blæser omkuld i konkurrencen.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.