Alvorligt sikkerhedshul: Webbutikker kan være i fare

Webbutikker kan rammes af en alvorlig sikkerhedsfejl. Hackere kan opnå administratorrettigheder blot ved at registrere sig som kunder. Firmaet bag systemet har kendt til fejlen i to måneder.

Annonce:
Annonce:
Netbutikker verden over kan blive ramt af svindlere, der udnytter en svaghed i onlinehandelsplatformen Magento, rapporterer Ars Technica.

Problemet, som blev opdaget af sikkerhedsfirmaet Sucuri, ligger i en cross-site scripting fejl (XSS), som lader udefrakommende tilføje script til netbutikker, som kører Magento enterprise edition eller Comunity edition.

Luskede typer kan nemlig tilføje et Javascript, når de registrerer sig som kunder i netbutikkerne. Magento eksekverer scriptet og vupti, så kan man overtage netbutikkens server.

"Angribere kan bruge den her svaghed til at overtage din hjemmeside, oprette administratorkonti, stjæle kundedata, alt hvad en reel administrator har lov til at gøre," forklarer vulnerability researcher hos Sucuri, Marc-Alexandre Montpas, på Sucuris hjemmeside.

To måneder uden en rettelse
Selvom der er tale om en alvorlig fejl, som potentielt kan påvirke millioner af netbutikker, havde Magento tilsyneladende ikke travlt med at rette den.

Sucuri opdagede fejlen 10. november sidste år og meldte den straks til Magento.

Men der måtte næsten en måned og en rykker til, før Magento overhovedet anerkendte, at firmaet havde modtaget advarslen, og først 20. januar var Magento klar med et patch, forklarer Sucuri.

Sådan løser du problemet
Nu hvor Magento har udgivet et patch, er problemet heldigvis hurtigt løst. Men hvis du bruger en version af Magento, der er ældre end Enterpise 1.14.2.3 eller Community 1.9.2.3, skal du skynde dig at opdatere.

Og så kan du for resten trøste dig med, at du er i godt selskab.

Magento bryster sig nemlig af sine berømte kunder. Og det er ikke amatører, der sælger hjemmehæklede sokker fra dagligstuen, men giganter som Nike og Olympus, som bruger Magentos platform.

Det kan man se på Magentos hjemmeside, som pudsigt nok ikke gør et større nummer ud af det nyeste patch.

Læs også: Alle danske webbutikker skal linke til dette site om en måned



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
The Mobile Wave 2016

På Computerworlds Mobile Wave konference d. 2. juni bliver du opdateret på de nye, hotte mobil-trends og får et indblik i de nye løsninger og teknologier. Oplev internationale talere og konkrete danske cases. Alt sammen helt gratis. Læs mere

Scandic Sydhavnen - 2450 København SV



Microsoft Azure

Microsofts fleksible cloud-platform, Azure, er med i front med blandt andet sin automatiserede database-administration, skalerbarhed og ydeevne, der kan give mange muligheder for din virksomhed. På denne How To kan du høre om nogle af de mange muligheder, der er i at lægge hele eller dele af din it ud på Azure-platformen. Læs mere

Whilborgs Konferencecenter - 2750 Ballerup



Fremtidens Vækstpotentiale - Internet of Things

Vores samfund i dag udvikles med exceptionel fart. Vi vil i de kommende få år opleve intet mindre end en revolution inden for connectivity af almindelige "døde ting", som vil betyde en mængde af data, som vi endnu ikke har set magen til. Internet of Things (IoT) er den næste revolutionerende it-bølge, som er over os. Læs mere

Centralværkstedet - 8000 Aarhus C







Computerworld
Dansk taxachauffør gik undercover hos Uber: Her er, hvad han oplevede
En dansk taxichauffør gik undercover med skjult kamera hos Uber, og har nu afleveret alle sine oplysninger til myndighederne. Læs om hans oplevelser her.
CIO
Data fra 1,6 millioner kunder booster Matas' kundeklub: "It handler ikke længere om backoffice, men om frontoffice og mødet med kunden"
Nomineret til Årets CIO 2016: Strategien for it og forretning er en og samme ting for Matas-CIO Thomas Grane. Han ser det som sin vigtigste opgave at få digitale løsninger til at gå op i en højere enhed med virksomhedens organisation og kundernes forventninger.
Comon
Ny stortest af antivirus-programmer: Så meget kraft trækker dit sikkerhedsprogram ud af maskinen
Hvor meget saft og kraft trækker dit antivirusprogram ud af din computer? Det kan du få svar på i denne hastighedstest af 19 antivirusprogrammer.
Channelworld
Dansk HP-direktør efter opsplitning: Her er HP's fremtidsplan i Danmark
Interview: Opsplitningen af it-mastodonten HP har givet større frihed til at hjælpe kunder og forhandlere, siger den danske chef for HP's pc- og print-firma, HP Inc. Han spår, at markedet for mobile devices kommer til at drive fremtidens vækst og innovation.
White paper
multikanals kundeservice - Sådan !
Sådan kan der udvikles en effektiv, multikanals kundeservice - Læs i dette white paper hvordan.