Bienvenue, Invité
Merci de vous identifier ou de vous inscrire.    Mot de passe perdu?

[SECURITE] 3 failles XSS dans Magento : patchez !
(1 lecteur(s)) (1) Invité(s)
Aller en basPage: 123
SUJET:

[SECURITE] 3 failles XSS dans Magento : patchez !

#9587
Gabriiiel
I love Magento.
Expert Magento
Messages: 4118
graph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin gabriel.bouhatous Formation Magento Audit Conseil gabriel.bouhatous Ask me :) Lieu: Paris

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 7 Mois
Karma: 112  
J'ai mailé Yoav et ils sont bien au courant des failles,

Pour le moment Varien conseille de changer l'url key d'accès à l'admin pour mettre quelque chose de moins trivial...

Cf. ici : www.magentocommerce.com/blog/comments/cs...oid-them-in-magento/

Les fix concernant les failles sus-citées seraient à priori corrigées dans la prochaine release.
 
Expert Magento @ The e-Commerce Academy

L'administrateur a désactivé l'accès public en écriture.
#9594
Fibo
Platinum Boarder
Messages: 369
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Conseil & coaching informatiques Lieu: Marseille

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 7 Mois
Karma: 3  
Changer le chemin de admin peut aider, mais PAS contre un adversaire déterminé... surtout s'il figure dans robots.txt.
La protection par ht access est par contre une bonne ligne de défense.

Ce qui est surprenant, c'est que Varien mette autant de temps à réagir et à valider ou améliorer les patchs suggérés par Gabriiel.

Changer et blinder ces points de faiblesse est, à mon sens, la seule réponse "responsable"... et je vais de ce pas aller blinder mes sites.

Le htmlentities semble une bonne solution, meilleure vraisemblablement que celle que j'ai mise en place, à titre de démonstration de problèmes d'injection SQL, en
injection.guide-local.com/accueil.php (ne pas oublier 'accueil.php').

Bref, une solution à recommander chaudement et que je mets de ce pas en ligne de signature!
 
L'administrateur a désactivé l'accès public en écriture.
#9603
Johan
Platinum Boarder
Messages: 540
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Lusodev xor08@msn.com Lieu: GAP, Hautes-Alpes (05) Date anniversaire: 04/01

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 7 Mois
Karma: 8  
Et concernant la recommandation de Varien, lorsque j'effectue cette modification, j'accède à l'admin sous l'adresse :

www.maboutique/admin/admin_perso/

Et non pas sous l'adresse

www.maboutique/admin_perso/

Est-ce normal !?
 
Johan - Lusodev www.lusodev.fr
L'administrateur a désactivé l'accès public en écriture.
#9614
Gabriiiel
I love Magento.
Expert Magento
Messages: 4118
graph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin gabriel.bouhatous Formation Magento Audit Conseil gabriel.bouhatous Ask me :) Lieu: Paris

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 7 Mois
Karma: 112  
En fait pour Varien, de base, l'accès à l'administration est censé être protégé, et deuxio, toujours pour eux bien sur, les administrateurs ne sont pas censés être des quichons qui se laissent prendre par des mails type "phising".

Voilà le pourquoi du comment.

 
Dernière édition: 27/02/09 à  17:42 Par Gabriiiel.
Expert Magento @ The e-Commerce Academy

L'administrateur a désactivé l'accès public en écriture.
#9860
Gabriiiel
I love Magento.
Expert Magento
Messages: 4118
graph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin gabriel.bouhatous Formation Magento Audit Conseil gabriel.bouhatous Ask me :) Lieu: Paris

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 6 Mois
Karma: 112  
 
Expert Magento @ The e-Commerce Academy

L'administrateur a désactivé l'accès public en écriture.
#12415
krenik
Senior Boarder
Messages: 50
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 5 Mois
Karma: 0  
En tombant sur ce topic, pouvez-vous me confirmer qu'avec la version 1.3 que j'ai mis en place récemment, je suis tranquille?

Merci d'avance.
 
L'administrateur a désactivé l'accès public en écriture.
#12417
Boutik Circus
Nicolas Trossat
Platinum Boarder
Messages: 672
graphgraph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin boutik-circus Boutik Circus nicolas.trossat@boutik-circus.fr Lieu: Var Date anniversaire: 18/04

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 5 Mois
Karma: 21  
Oui c'est bon.
La seule chose à faire est de pas oublier de personnaliser l'url d'accès à l'admin
 
Dernière édition: 22/04/09 à  03:05 Par Boutik Circus.
L'administrateur a désactivé l'accès public en écriture.
#12495
Gabriiiel
I love Magento.
Expert Magento
Messages: 4118
graph
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin gabriel.bouhatous Formation Magento Audit Conseil gabriel.bouhatous Ask me :) Lieu: Paris

Re:[SECURITE] 3 failles XSS dans Magento : patchez !

Il y a 9 Années, 5 Mois
Karma: 112  
Les failles ont été corrigées avec la version 1.2.1.2.

Donc corrigé pour la 1.3 aussi évidemment.
 
Expert Magento @ The e-Commerce Academy

L'administrateur a désactivé l'accès public en écriture.
Revenir en hautPage: 123
Modérateur: Gabriiiel, ILOA, zuiko