Faille Magento/Paypal et solutions pour l'éviter

Imprimer Envoyer
Magento

Dans la foulée de la faille de sécurité affectant les données clients dans Magento dont nous vous parlions la semaine dernière, une autre faille identifiée sur le module Paypal/Magento a été révélée. L'avis de sécurité est accompagnée de plusieurs solutions permettant de régler le problème.

A noter que la faille affecte potentiellement tout site proposant Paypal en mode de paiement, et n'ayant pas correctement sécurisé l'information de paiement qui est transmise depuis le site e-Commerce, vers Paypal. Donc même si vous n'êtes pas sur Magento, n'hésitez pas à jeter un coup d'oeil :-).

 

Faille de sécurité Magento : vulnérabilité sur les données clients

Imprimer Envoyer
Magento

Quelle est la faille, quel est le risque ?

Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L'exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c'est à dire:

  • identité : prénom, nom, civilité
  • société, téléphone, fax
  • adresse complète : rue, code postal, ville, région, pays
  • date de création et de mise à jour de l'adresse client

Exemple de données brutes récupérées librement :

{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}

Faille de sécurité Magento

Quelles sont les versions de Magento affectées ?

La faille concerne :

  • toutes les versions de Magento Community jusqu'à 1.3.3.0 (incluse)
  • Magento Enterprise 1.6

Bien que les versions affectées soient relativement anciennes, un certain nombre de sites en production sont toujours basés sur celles-ci. Un test réalisé sur un échantillon de 1.300 sites révèle que 30 à 40% des sites Magento pourraient être concernés par la faille.

Les sites basés sur Magento Community >= 1.4.0.0 ou Magento Enterprise >= 1.7.0.0 ne sont pas affectés.

 

Pourquoi publier un Advisory sur cette faille ?

Lors d'un récent audit sur un site Magento, une analyse de logs serveurs nous a permis de constater que des tentatives d'exploitation de la faille avaient été effectuées. Certaines personnes a priori mal intentionnées ont donc connaissance de la vulnérabilité, alors même que les victimes potentielles ignorent tout du risque.

D'autre part, s'il corrige les failles qui lui sont signalées, l'éditeur ne communique pas pour autant sur le sujet. Nous n'avons pu trouver aucune communication concernant cette faille. Nous n'avons pas non plus pu trouver d'informations non-officielles via les sites communautaires.

Enfin, même lorsque l'éditeur corrige les failles, il ne fournit pas pour autant de patch, ce qui laisse potentiellement un grand nombre de sites Magento vulnérables sans solution facilement applicable.

 

La faille est-elle corrigée dans les versions récentes ?

Oui, dans les versions récentes de Magento, la faille est bien corrigée. Plus précisément, la vulnérabilité est corrigée :

  • à partir de Magento Community 1.4.0.0
  • à partir de Magento Enterprise 1.7.0.0

Pour information :

  • La version 1.5.0.0 de Magento C.E. et la version 1.10 de Magento E.E./P.E. étaient affectées par une faille de sécurité majeure, les modifications appropriées ont été effectuées et ont donné lieu à Magento C.E. 1.5.0.1 et Magento E.E. 1.10.0.1 ; les versions affectées étant retirée du téléchargement.
  • Bien que la faille clients est corrigée dans les versions récentes, la version 1.3.3.0 n'a pas fait l'objet d'un patch et n'a pas été retirée du téléchargement.

 

Si vous pensez être concernés ou souhaitez en savoir plus :

Avis de sécurité complet
Vulnérabilité sur les données clients dans Magento

 

Application iPhone Magento

Imprimer Envoyer
Magento

L'application iPhone Magento

"Il y a une application pour tout !" comme disait l’autre à propos de l’iPhone d’Apple. Pourtant, quand ce slogan est sorti, certains pouvaient se sentir frustrés de ne pas trouver une application Magento.

Depuis le 17 février 2010, ce slogan a désormais un sens pour Magento. En effet, depuis cette date, l’application officielle de Magento est disponible sur l’App Store. Varien a même pensé à nous car l’application est disponible en plusieurs langues dont le Français.

Mais que permet une application iPhone Magento ? Nous allons rapidement en faire le tour et voir les possibilités qui s’offrent à nous lors de l’utilisation de l’application.

Un joli screen aux couleurs de Magento nous fait patienter pendant son chargement. L’ambiance est donc ainsi posée et l’on se sent tout de suite familier avec l’univers de Magento.

L’application propose cinq menus :

Accueil

  • Cette section propose, hormis d’afficher le logo Magento, de voir les dernières activités sur le site officiel. Mais également les dernières activités de la communauté. Principalement des Tweets.

Actualité

  • Cette page de l’application affiche les dernières informations à propos de Magento. Elle regroupe à la fois les informations officielles, les Tweets de la team Magento et de la communauté. On peut églament afficher des  Buzz qui sont surtout des informations d’ordres plus générales.

Mur

  • Le mur est une section plus communautaire où chacun est libre d’inscrire ce qu’il souhaite - ce qui n'est pas sans rappeller le mur de Facebook. Si vous possédez un iPhone dernière génération, vous pourrez même voir les activités de la communauté autour de vous. De plus vous pourrez même diffuser ce que vous inscrirez sur le mur et le partager sur Facebook ou Twitter.

Vidéos

  • Cette section regroupe toutes les vidéos disponibles sur le site de Magento. Une réelle façon d’emmener le site de Magento avec soit sur son iPhone. Pour peu qu’on soit adepte des screencasts.

Autre

  • Hormis le fait d’afficher le très classique « A propos de… », cette section permet de se connecter a son compte Facebook ou Twitter et d’interagir avec l’application sur les différentes sections précédentes.

En conclusion, il s’agit d’une petite application sympathique. Même si elle ne permet pas d’avoir l’intégralité du site officiel dans une application iPhone, elle permet toutefois de consulter l’essentiel de Magento.

De plus cette application est très orientée communauté, notamment grâce aux interactions avec les comptes Facebook ou Twitter.

Et vous, vous en pensez quoi de cette appli Magento ? :)

 

Magento 1.4 enfin en Français !

Imprimer Envoyer
Magento

Magento 1.4 enfin en Français !

Magento 1.4 Community Edition est fraîchement sortie. Avec ses nombreuses nouvelles fonctionnalités et des changements assez conséquents au niveau du code, Magento souffrait d'un manque de traductions en français relativement important.

C'est désormais du passé. En effet, le pack de langue en français pour Magento vient de sortir sur Magento Connect !

Ceci grâce au travail conjoint entre Sébastien Lepers, et quelques membres de la communauté francophone de Fragento (Guiohm et Pyksel). C'est donc plusieurs centaines de termes qui ont été traduits pour cette version avec au passage la résolution de certains bugs liés à la traduction présentes dans certains javascripts. Cela propulse donc le pack  à un taux de traduction de 100% : preuve que la communauté francophone de Magento est très active.

Liens utiles pour la traduction de Magento :

N'hésitez pas à vous rendre sur le fil de discussion du pack Français sur le site officiel de Magento afin d'apporter vos suggestions et améliorations.
 

Première mise à jour pour Magento 1.4

Imprimer Envoyer
Magento

Première Mise à jour pour Magento 1.4.0.0

Magento 1.4.0.0 Community est sorti il y a quelques jours à peine qu’une petite mise à jour pointe le bout de son nez. Varien est donc décidément très réactif. Ceci est plutôt de bon augure pour ceux qui pense toujours que la version Community est vouée à disparaître. C’est loin d’être le cas. Surtout quand on voit le lot d’amélioration que nous propose la version 1.4.
Pour en revenir à cette petite mise à jour, voici les principaux changements et corrections de bugs qu’apporte la version Magento 1.4.0.1 :

Principaux changements :

  • Les rapports d’erreurs d’exceptions sont désactivés pour des raisons de sécurité. Pour activer celles-ci dupliquez le fichier errors/local.xml.sample vers errors/local.xml
  • Revisions des vulnérabilités XSS. C’est la fonction checkNotes() de la classe Mage_CatalogSearch_Helper_Data qui est concernée. (app/code/core/Mage/CatalogSearch/Helper/Data.php). Ce changement permet via la fonction array_map() dont on applique un callback de type htmlEscape d’éviter les injections sur les champs de recherches quand on insère des caractères spéciaux et de type script.
  • Ajout de la méthode de paiment Phoenix_Moneybookers. Ce module est à présent intégré en natif à Magento. Pour ceux qui ne connaîtrait pas Moneybookers, sachez qu’il s’agit d’un système de type PayPal permettant de régler ses achats et d’envoyer de l’argent à un tiers.

Corrections de bugs :

Fixed #20680: Catalog - Google Sitemap
Ce bug renvoyait un chemin erroné dans un environnement multi boutique.

Fixed #20024: Error message 'Data saving problem' when try to checkout with multiple addresses (when address deleted during multishipping process)
Un bug assez ancien enfin résolu qui empéchait la sauvegarde des données si on supprimait une adresse pendant le processus de commande en mode adresse de livraison multiple.

Fixed #20625: Fatal error: Exception thrown without a stack frame in Unknown on line 0 (Fixed cache backend instantiation when a shared PEAR library is in the include path)
Résolution d’une erreur liée au cache de Magento.

Fixed #20659: Unable to choose images for upload (duplicates: #20588, #20573, #20616, #20595)
Résolution d’un bug empéchant l’upload d’images.

Fixed shell cron script runner
Correction sur le lancement cron.

Refixed #17963: Ampersand in Search Breadcrumb: Double-encoded
Encore un vieux bug dépoussiéré de la version 1.3.2 qui donnait un mauvais encodage dans le champ de recherche sur les caractères spéciaux. (& était rendu en &)

A la vue de ces corrections, on se dit que Varien est très actif et soucieux du fonctionnement de Magento Community Edition. C’est avant tout sa vitrine. Magento est sans conteste une solution dont le suivi est exemplaire. Vos rapports de bugs sont donc importants pour permettre d’obtenir toujours une release stable et dénuée de problèmes majeurs. C’est donc à cette adresse que vous pourrez observer et signaler des bugs sur Magento : http://www.magentocommerce.com/bug-tracking

Rappelez-vous que toutes mise à jour même mineure de Magento doit être réalisée sur un serveur de test. N’oubliez donc pas d’effectuer des sauvegardes de votre environnement de productions quand vos tests ont été réalisés.

Liens utiles pour la version 1.4.0.1 de Magento

Téléchargement Magento 1.4.0.1 stable
Sample Data pour Magento 1.4.0.1 stable
Diff Files Magento 1.4.0.1 stable
Releases Notes pour Magento 1.4.0.1

 
<< Début < Préc 1 2 3 4 5 6 7 8 9 10 Suivant > Fin >>

Page 1 de 10