Magento 1, Magento 2,

Atualização de Segurança: Magento 2.0.14 e 2.1.7

avatar
Atualização de Segurança: Magento 2.0.14 e 2.1.7

Saiu no dia 31 de maio de 2017, um post no site oficial do Magento informando sobre uma nova atualização de segurança para o Magento 2.0.14 e 2.1.7, tanto para a versão Enterprise (EE) quanto para a Community (CE).

Ambas as versões são inferiores aos Updates de segurança Magento 2.0.16 e 2.1.9, lançados no dia 14/09/2017, mas por meio delas foi possível chegar as melhorias de segurança das versões mais recentes.

É muito importante para a segurança da sua loja Magento que ela esteja devidamente atualizada.

As atualizações de segurança servem para corrigir vulnerabilidades e erros das versões anteriores, que podem expor suas informações pessoais e de seus clientes também.

Se você não costuma atualizar sua loja virtual, muito cuidado! Se um invasor conhecer algum plugin ou diretório que possa se tornar uma brecha para acessar seu site, você corre o risco de ter que lidar com graves problemas.

Nesse mesmo post, o time de segurança do Magento recomenda que quem ainda não tenha baixado a versão 2.0 da plataforma anteriormente, comece com a versão Enterprise ou Community 2.1.7, ambas já atualizadas.

Continue lendo para saber o que foi corrigido nessa atualização de segurança e onde você poderá atualizar sua plataforma.

Onde posso fazer a atualização de segurança?

Para fazer download dos lançamentos, você tem por escolha as seguintes opções:

Community Edition

  • Community Edition 2.1.7 e 2.0.14 (Novas instalações de arquivo .zip)Página de download da versão Community > Download.
  • Community Edition 2.1.7 e 2.0.14 (Novas instalações de compositores) – http://devdocs.magento.com/guides/v2.0/install-gde/prereq/integrator_install.html
  • Community Edition 2.1.7 e 2.0.14 (atualizações do compositor)http://devdocs.magento.com/guides/v2.0/comp-mgr/bk-compman-upgrade-guide.html
  • Community Edition 2.1.7 e 2.0.14 (Desenvolvedores que contribuem para a base do código CE) – http://devdocs.magento.com/guides/v2.0/install-gde/install/cli/dev_options.html

Enterprise Edition

  • Enterprise Edition 2.1.7 (novas instalações do arquivo .zip) – Minha Conta > Downloads > Magento Enterprise Edition 2.X > Versão Magento Enterprise Edition 2.x > Versão 2.1.7
  • Enterprise Edition 2.0.14 (novas instalações de arquivo .zip) – Minha Conta > Downloads > Magento Enterprise Edition 2.X > Versão Magento Enterprise Edition 2.x > Versão 2.0.14
  • Enterprise Edition 2.1.7 e 2.0.14 (novas instalações de compositores) http://devdocs.magento.com/guides/v2.0/install-gde/prereq/integrator_install.html
  • Enterprise Edition 2.1.7 e 2.0.14 (atualizações do compositor)http://devdocs.magento.com/guides/v2.0/comp-mgr/bk-compman-upgrade-guide.html

Sobre a atualização de segurança

Ainda não foi registrado nenhum relato de ataque em relação a essas vulnerabilidades.

Listei abaixo as principais vulnerabilidades que foram detectadas e corrigidas nessa nova atualização de segurança:

APPSEC-1686: Execução remota de código no painel de administração

  • Nível de Ameaça: Alto;
  • Descrição: Os administradores da loja com acesso à funcionalidade CMS podem executar o código de forma remota;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7, Magento CE anterior a versão 1.9.3.3 e Magento EE anterior a versão 1.14.3.3;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7, CE 1.9.3.3, EE 1.14.3.3, SUPEE-9767.

APPSEC-1626: RCE em upload de vídeo

  • Nível de Ameaça: Alto;
  • Descrição: A funcionalidade de upload de vídeo no Painel de Administração permite que o invasor com acesso administrativo explore a rede interna para portas ou servidores abertos e em algumas configurações para carregar arquivos PHP executáveis;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1746: Vulnerabilidade Zend Mail – Continuação

  • Nível de Ameaça: Alto;
  • Descrição: A vulnerabilidade foi corrigida na versão 2.0.12 / 2.1.4, mas um caso de uso foi descoberto que poderia ser usado para ignorar a proteção implementada. A questão não é diretamente explorável no Magento 2;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1565: Senha do cliente exposta no Admin

  • Nível de Ameaça: Médio;
  • Descrição: Ao editar informações do cliente no Admin, o hash de senha do cliente é vazado para a página;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1559: Possível execução de código remoto em lembretes de e-mail

  • Nível de Ameaça: Alto;
  • Descrição: É possível instanciar objetos em partes da funcionalidade de lembrete de e-mail. Embora nenhuma exploração conheça esse problema, isso pode levar à execução de código remoto para administradores autorizados;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1752: XSS armazenado no Painel de Administração

  • Nível de Ameaça: Alto;
  • Descrição: As informações do cliente inseridas no administrador não foram corretamente escondidas. Isso permite que administradores de nível inferior possivelmente ataquem outros administradores. Para explorar esse problema, é necessário o acesso ao administrador;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1699: Tokens da API não invalidados depois de desabilitar o usuário Admin

  • Nível de Ameaça: Médio;
  • Descrição: Os tokens da API não são invalidados após a desativação do usuário Admin, o que pode levar a ataques contínuos ou a ações não autorizadas;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1632: Senha exposta no log de ação (somente EE)

  • Nível de Ameaça: Médio;
  • Descrição: Algumas ações realizadas pelos administradores da loja podem gerar log de ações do administrador, que inclui a senha do administrador em texto simples. Esse problema afeta apenas o Magento Enterprise Edition;
  • Produtos afetados: Magento EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento EE 2.0.14 / 2.1.7.

APPSEC-1663: Ações de massa não seguem ACL

  • Nível de Ameaça: Médio;
  • Descrição: Algumas ações em massa não conferem permissões, possibilitando que administradores de baixo nível executem ações não autorizadas;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1661: Controladores UI não seguem ACL

  • Nível de Ameaça: Médio;
  • Descrição: Alguns controladores UI não conferem ACL corretamente, permitindo que administradores de baixo nível extraiam dados que não estão autorizados a ver;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1679: APIs vulneráveis a CSRF

  • Nível de Ameaça: Médio;
  • Descrição: Algumas APIs autenticadas pelo cliente são vulneráveis a CSRF, permitindo ataques de phishing;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1610: Descrição personalizada do caminho do administrador

  • Nível de Ameaça: Baixo;
  • Descrição: O módulo de pagamentos pode divulgar a localização do caminho de administrador personalizado (Exemplo: www.seusite.com.br/admin_personalizado). Embora não seja uma exploração de segurança em si, pode tornar mais fácil a adivinhação de senhas e outros ataques;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1666: Vazamento de informação

  • Nível de Ameaça: Médio;
  • Descrição: Alguns dos pedidos devolvidos pelas chamadas AJAX no Painel de Administração contém informações de configuração desnecessárias que podem expor informações sensíveis do sistema;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7.

APPSEC-1659: Vulnerabilidades em bibliotecas de JavaScript

  • Nível de Ameaça: Nenhum;
  • Descrição: O Magento usava versões de bibliotecas de JavaScript com vulnerabilidades de segurança conhecidas. Mas ele não usava a funcionalidade vulnerável e nenhum vetor de ataque específico foi encontrado no Magento. Por precaução, atualizaram as bibliotecas de JavaScript em questão para as versões mais recentes;
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7, Magento CE anterior a versão 1.9.3.3 e Magento EE anterior a versão 1.14.3.3;
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7, CE 1.9.3.3, EE 1.14.3.3, SUPEE-9767.

APPSEC-1622: Encaminhamento incorreto de pedidos

  • Gravidade: Nenhuma;
  • Descrição: O roteamento de solicitação incorreta pode permitir a ignorância das proteções do servidor web, que por sua vez fornece aos usuários potencialmente mal-intencionados acesso ao servidor.
  • Produtos afetados: Magento CE e EE anteriores as versões 2.0.14 / 2.1.7, Magento CE anterior a versão 1.9.3.3 e Magento EE anterior a versão 1.14.3.3
  • Corrigidos em: Magento CE e EE 2.0.14 / 2.1.7, CE 1.9.3.3, EE 1.14.3.3, SUPEE-9767.

Antes de fazer qualquer alteração lembre-se de testar a nova versão em um ambiente de desenvolvimento primeiro para ter certeza que vai funcionar tudo como o esperado. Ou converse com seu desenvolvedor.

Você poderá ter mais informações dessa atualização de segurança na matéria original do próprio Magento.

Outro artigo que recomendo para você que se preocupa com a segurança de sua loja Magento é o nosso post Como testar a segurança da sua Loja Virtual Magento que te dará dicas úteis para saber se sua loja está segura.

Se você gostou deste conteúdo, peço que ajude mais pessoas a conhecerem essa nova atualização de segurança, compartilhando esse artigo com seus amigos.

Um grande abraço e até a próxima!

Posts relacionados

5 extensões Magento obrigatórias durante a Black Friday Ferramentas Magento para manter seu site seguro Segurança Magento: faça os clientes se sentirem seguros Magento 2.2.2: O que muda?