Sécurisez votre E-commerce Magento

E-commerce

Des milliers de sites Magento comportent toujours une faille de sécurité critique.

 

Des milliers de sites Magento comportent toujours une faille de sécurité critique.

Signalée en février 2015, celle-ci peut permettre de prendre le contrôle de votre site e-Commerce à distance, voire de l'ensemble du serveur hébergeant votre site, et donc, de récupérer l'ensemble des informations stockées dans la base de données, notamment les informations des clients. Les experts de l'agence web Fidesio souhaitent donc à nouveau porter à votre attention le risque majeur que cette faille de sécurité peut constituer si elle n'est pas traitée dans les plus brefs délais.

CVE-2015-2067

Faille signalée en février 2015 - Il est possible d’injecter un emplacement serveur par le biais du paramètre file, via le fichier ajax_pluginconf.php de MAGMI. L'exploitation de cette faille retournera le fichier etc/passwd du serveur.
 

CVE-2015-2068

Failles XSS sur les fichiers magmi.php et magmi_import_run.php.
 
Ces failles ont été corrigées, il est néanmoins recommandé de :
1/ rendre impossible l’accès à /magmi/ par un .htaccess/.htpasswd
2/ mettre à jour MAGMI

 

 

 

PATCHS DE SÉCURITÉ MAGENTO

 

SUPEE-5344

Faille signalée en février 2015 - le patch corrige un problème de sécurité sérieux afin de prévenir une injection SQL réalisée par le biais de certains appels web-services.
PATCH_SUPEE-5344-5388_CE_1.4.0.0-1.5.0.1_EE_1.9-1.10.sh.txt
PATCH_SUPEE-5344-5341_CE_1.6.0.0_EE_1.11.0.0.sh.txt
PATCH_SUPEE-5344-5346_CE_1.6.1.0.sh_EE_1.11.1.0.txt
PATCH_SUPEE-5344-5345_CE_1.7.0.2.sh_EE_1.12.txt
PATCH_SUPEE-5344_CE_1.8.0.0_EE_1.13.sh.txt

 

SUPEE-1533

Faille signalée en octobre 2014 - le patch corrige un problème de sécurité qui permettrait à un attaquant d’exécuter du code sur le serveur, à la condition de disposer d’accès administrateurs. Rappel : la version communautaire de Magento ne dispose pas de protections contre le brute-force.
PATCH_SUPEE-1533_CE_1.4.x_EE_1.9.x.sh.txt
PATCH_SUPEE-1533_CE_1.5.0.x_EE_1.10.0.x.sh.txt
PATCH_SUPEE-1533_CE_1.5.1.x_EE_1.10.1.x.sh.txt
PATCH_SUPEE-1533_CE_1.6.x_EE_1.11.x.sh.txt
PATCH_SUPEE-1533_CE_1.7.x_EE_1.12.x.sh.txt
PATCH_SUPEE-1533_CE_1.8.x-1.9.x_EE_1.13.x.sh.txt

 

SUPEE-3941

Faille signalée en août 2014 - le patch corrige des problèmes fonctionnels, et dans une moindre mesure, de sécurité, sur le downloader Magento. En conséquence, ce patch est inutile pour les projets qui n’utilisent pas le downloader, et pour les sites en production qui n’ont pas versionné et/ou déployé le répertoire downloader. 
PATCH_SUPEE-3941_CE_1.8.0.0-1.9.0.1_EE_1.14.0.1.sh.txt
 

APPSEC-212

Faille signalée en janvier 2014 - le patch permet de fixer une faille de sécurité pouvant être exploitée dans le cas où le répertoire de gestion des médias Magento est en lien symbolique sur le serveur. Le patch est simple et rapide à appliquer et même si le répertoire de médias n’est pas pas configuré en lien symbolique sur le serveur, l’appliquer est recommandable par précaution.
APPSEC-212-PATCH_SUPEE-2677_CE_1.6.0.0-1.7.0.2_EE_1.13.0.2.sh.txt
APPSEC-212-PATCH_SUPEE-2747_CE_1.8.0.0-1.8.1.0_EE_1.13.1.0.sh.txt
 
Vous pouvez également télécharger ces patchs sur le site de l'éditeur :
1/ sélectionnez la version de votre applicatif Magento
2/ téléchargez le patch correspondant
 
 
Demander a notre agence web de faire audit, et la sécurisation nécessaire rapidement. Le devis est gratuit.