Faille de sécurité Magento : vulnérabilité sur les données clients

Imprimer
Magento

Quelle est la faille, quel est le risque ?

Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L'exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c'est à dire:

  • identité : prénom, nom, civilité
  • société, téléphone, fax
  • adresse complète : rue, code postal, ville, région, pays
  • date de création et de mise à jour de l'adresse client

Exemple de données brutes récupérées librement :

{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}

Faille de sécurité Magento

Quelles sont les versions de Magento affectées ?

La faille concerne :

  • toutes les versions de Magento Community jusqu'à 1.3.3.0 (incluse)
  • Magento Enterprise 1.6

Bien que les versions affectées soient relativement anciennes, un certain nombre de sites en production sont toujours basés sur celles-ci. Un test réalisé sur un échantillon de 1.300 sites révèle que 30 à 40% des sites Magento pourraient être concernés par la faille.

Les sites basés sur Magento Community >= 1.4.0.0 ou Magento Enterprise >= 1.7.0.0 ne sont pas affectés.

 

Pourquoi publier un Advisory sur cette faille ?

Lors d'un récent audit sur un site Magento, une analyse de logs serveurs nous a permis de constater que des tentatives d'exploitation de la faille avaient été effectuées. Certaines personnes a priori mal intentionnées ont donc connaissance de la vulnérabilité, alors même que les victimes potentielles ignorent tout du risque.

D'autre part, s'il corrige les failles qui lui sont signalées, l'éditeur ne communique pas pour autant sur le sujet. Nous n'avons pu trouver aucune communication concernant cette faille. Nous n'avons pas non plus pu trouver d'informations non-officielles via les sites communautaires.

Enfin, même lorsque l'éditeur corrige les failles, il ne fournit pas pour autant de patch, ce qui laisse potentiellement un grand nombre de sites Magento vulnérables sans solution facilement applicable.

 

La faille est-elle corrigée dans les versions récentes ?

Oui, dans les versions récentes de Magento, la faille est bien corrigée. Plus précisément, la vulnérabilité est corrigée :

  • à partir de Magento Community 1.4.0.0
  • à partir de Magento Enterprise 1.7.0.0

Pour information :

  • La version 1.5.0.0 de Magento C.E. et la version 1.10 de Magento E.E./P.E. étaient affectées par une faille de sécurité majeure, les modifications appropriées ont été effectuées et ont donné lieu à Magento C.E. 1.5.0.1 et Magento E.E. 1.10.0.1 ; les versions affectées étant retirée du téléchargement.
  • Bien que la faille clients est corrigée dans les versions récentes, la version 1.3.3.0 n'a pas fait l'objet d'un patch et n'a pas été retirée du téléchargement.

 

Si vous pensez être concernés ou souhaitez en savoir plus :

Avis de sécurité complet
Vulnérabilité sur les données clients dans Magento

Commentaires
RSS
neuro  : Rechercher les installations qui possèdent la fail 2012-04-25 20:15:02
Pour gagner du temps en recherchant dans plusieurs installations magento différentes (récursivement).

find /home/vos_installs_magento/ -name "OnepageController.php" -exec grep -H -E -o -c "'HTTP/1.1','403" {} \; | grep "app/code/core/Mage/Checkout/controllers/OnepageController.php:0"
Seul les utilisateurs enregistrés peuvent écrire un commentaire!

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."