Saiu no dia 14/09/2017 no blog da Magento um post informando a todos de um novo update de segurança para o Magento Enterprise (EE) e Community (CE), respectivamente o Magento 2.0.16 e 2.1.9.
Esta nova atualização traz novas formas de prevenir a falsificação de solicitação de cross-site (CSRF).
O Cross-site é uma vulnerabilidade que permite ao atacante obter informações e redirecionar contatos para páginas perigosas por meio de injeções de códigos maliciosos na programação do site.
O update teve foco em evitar formas para que ocorram o vazamento de dados não autorizados e as vulnerabilidades de execução de código remoto autônomo do administrador.
Por isso é muito importante para a segurança da sua loja Magento que ela esteja devidamente atualizada.
Muito cuidado se você não costuma atualizar sua loja virtual. Se a versão desatualizada da sua plataforma tiver alguma vulnerabilidade ela se torna um alvo fácil para invasores.
Continue lendo para saber todas as melhorias dessas atualizações de segurança, além de onde e como atualizar sua plataforma.
Onde baixar as atualizações de segurança?
As atualizações de segurança do Magento podem ser adquiridas de três formas diferentes, veja abaixo:
Portal de Parceiros da plataforma
Magento Commerce 2.1.9: Acesse o Portal de Parceiros > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.1.9;
Magento Commerce 2.0.16: Acesse o Portal de Parceiros > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.0.16;
Magento Commerce 2.1.9 e 2.0.16: Nova instalação para integrações;
Magento Commerce 2.1.9 e 2.0.16: Para aplicativo Magento e Componentes;
Magento Commerce (Minha Conta)
Magento Commerce 2.1.9: Acesse o Minha Conta > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.1.9;
Magento Commerce 2.0.16: Acesse o Minha Conta > Downloads > Magento Commerce 2.X > Magento Commerce 2.x Release > Versão 2.0.16;
Magento Open Source
Para baixar o Magento Open Source 2.1.9 e 2.0.16, acesse: https://magento.com/tech-resources/download;
O que foi corrigido no Update de segurança?
Como disse anteriormente, esse update tem foco em corrigir vulnerabilidades de Cross-Site e outras formas de desviar informações.
Ainda não foi detectado algum ataque relacionado às vulnerabilidades que listei abaixo, confira as APPSEC’s que foram corrígidas:
APPSEC-1800
Nível de Ameaça: Crítica;
Tipo: Execução Remota de Código (ERC);
Descrição: Um administrador Magento com privilégios limitados pode introduzir códigos maliciosos ao criar uma nova Página CMS, o que pode resultar em execução de código remoto arbitrário;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, Magento 2.0 inferiores a 2.0.16 e Magento 2.1 antes do 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1887
Nível de Ameaça: Alto;
Tipo: Vazamento de informação;
Descrição: Um administrador do Magento com privilégios limitados pode explorar uma vulnerabilidade na função de criação do tema para divulgar e excluir arbitrariamente arquivos do sistema de uma instalação Magento;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1850
Nível de Ameaça: Alto;
Tipo: Abuso de funcionalidades;
Descrição: Um administrador Magento com privilégios limitados pode usar o módulo Excluir Arquivos para carregar e excluir arquivos;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1851
Nível de Ameaça: Alto;
Tipo: Execução de Código Remoto (ECR);
Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade nos testes funcionais da Magento e obter a execução de código remoto completo no sistema;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1567
Nível de Ameaça: Médio;
Tipo: Desvio de informação (ordem);
Descrição: Se um invasor anônimo receber informações de ordem genérica, ele pode gerar uma colisão de cookies e obter informações de pedidos;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1769
Nível de Ameaça: Médio;
Tipo: Abuso de funcionalidade;
Descrição: Um administrador do Magento com privilégios limitados pode usar a ferramenta de geração do sitemap para substituir arquivos sensíveis;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1713
Nível de Ameaça: Médio;
Tipo: Vazamento de informação (sistema);
Descrição: Vários URLs do site Magento vazam informações confidenciais que podem incluir mensagens de erro detalhadas e localização do controlador. Os atacantes podem usar essas informações para explorar outras vulnerabilidades;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1852
Nível de Ameaça: Médio;
Tipo: CSRF e XSS (armazenamento);
Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade no grupo de clientes para criar um URL que pode ser usado como parte do ataque CSRF;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1482
Nível de Ameaça: Médio;
Tipo: Redirecionamento não validado;
Descrição: Um invasor pode adicionar uma URL a um site Magento, redirecionando usuários para um site de phishing externo;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1502
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento pode injetar código em atributos de produtos personalizados;
Produtos Afetados: Versões inferiores a 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1494
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um invasor com a capacidade de lançar um ataque do Man-in-the-middle em uma conexão de rede poderia injetar código no feed RSS do Magento Admin;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1793
Nível de Ameaça: Médio;
Tipo: Execução de Código Remoto (ECR);
Descrição: A instalação não Apache (por exemplo, Nginx) pode ter carregamentos de scripts executáveis que podem ser usados para exploração posterior;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1819
Nível de Ameaça: Médio;
Tipo: Sessão insuficiente;
Descrição: O Magento não configura corretamente as sessões simultâneas expiradas. Sua conta pode continuar ativa, mesmo que sua sessão tenha expirado, isso permite a um invasor acessar a sua conta;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1802
Nível de Ameaça: Médio;
Tipo: Cross-Site Request Forgery (CSRF);
Descrição: Foi adicionado a proteção CSRF ao processo de registro do cliente para evitar que os invasores assumam as contas;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1493
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento pode injetar scripts executáveis em áreas não executáveis, como o título da página;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1755
Nível de Ameaça: Médio;
Tipo: Cross-Site Request Forgery (CSRF);
Descrição: Os tokens anti-CSRF não mudam adequadamente após um login bem-sucedido;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1853
Nível de Ameaça: Médio;
Tipo: CSRF, XSS (armazenamento);
Descrição: Um administrador Magento com privilégios limitados pode explorar uma vulnerabilidade pela Newsletter para criar uma URL que pode ser usada como parte de um ataque CSRF;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1729
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS);
Descrição: Um administrador pode injetar código em registros de pedidos de vendas, o que pode resultar em um ataque XSS em qualquer pessoa que veja a página;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1775
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS);
Descrição: Um administrador Magento com privilégios limitados pode inserir códigos maliciosos em templates de e-mail;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1591
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento com privilégios limitados pode adicionar novos produtos que podem conter um script malicioso pela miniatura do produto;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1896
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador do Magento com privilégios limitados pode inserir o código executável na visualização de pedido através do código;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1673
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento com privilégios limitados pode adicionar novas imagens SVG que contenham código malicioso;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1773
Nível de Ameaça: Médio;
Tipo: Negação de Serviço (DoS);
Descrição: Um administrador Magento com privilégios limitados pode modificar o contador de páginas ao criar uma nova página. Isso pode causar um excesso de número inteiro, o que pode impedir a criação de novas páginas;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1577
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento pode injetar código na ativação de integração;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1510
Nível de Ameaça: Médio;
Tipo: Referência de objeto direta insegura;
Descrição: Um administrador Magento com privilégios limitados pode atualizar a imagem Favicon para todo o site;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1545
Nível de Ameaça: Médio;
Tipo: Cross-Site Scripting (XSS, armazenamento);
Descrição: Um administrador Magento pode injetar código de script em campos de clientes, o que pode resultar em um ataque XSS;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1535
Nível de Ameaça: Médio;
Tipo: Referência de objeto direta insegura;
Descrição: O Magento não verifica corretamente as listas de controle de acesso na grade de edições rápidas;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1588
Nível de Ameaça: Médio;
Tipo: Desvio de informação (ordem);
Descrição: Um invasor pode criar uma solicitação de URL em um site da Magento durante o check-out e recuperar informações sobre pedidos passados;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1701
Nível de Ameaça: Médio;
Tipo: Sessão insuficiente;
Descrição: Os tokens de cliente e de administração não expiram corretamente, o que permite a reutilização potencial de um cookie por um invasor;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1630
Nível de Ameaça: Médio;
Tipo: Vazamento de informação (sistema);
Descrição: Um usuário anônimo pode visitar um URL interno e ver o status de uma atualização do Magento;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1628
Nível de Ameaça: Médio;
Tipo: Vazamento de informação (sistema);
Descrição: As respostas de e-mail do Magento aos pedidos de produtos expõem o caminho do sistema da instalação do Magento. Os atacantes podem aproveitar o caminho do sistema para permitir o uso de outras vulnerabilidades;
Produtos Afetados: Versões inferiores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1599
Nível de Ameaça: Médio;
Tipo: Vazamento de informação (sistema);
Descrição: Vários campos no painel de administração não funcionam corretamente com preenchimento automático, o que pode resultar em um possível vazamento de informações quando um navegador tenta preencher automaticamente o campo;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
APPSEC-1709
Nível de Ameaça: Baixo;
Tipo: Vazamento de informação (sistema);
Descrição: O mecanismo de bloqueio de conta vazou o e-mail de contato do site Magento;
Produtos Afetados: Versões anteriores ao Magento 2.0.16 e 2.1.9;
Produtos Corrigidos: 2.0.16 e 2.1.9.
APPSEC-1495
Nível de Ameaça: Baixo;
Tipo: Referência de objeto direto insegura;
Descrição: Qualquer usuário pode interagir com a função de ordem do cliente apesar de não ser autorizado;
Produtos Afetados: Versões inferiores ao Magento 1.9.3.6, 1.14.3.6, 2.0.16 e 2.1.9;
Produtos Corrigidos: 1.9.3.6, 1.14.3.6, SUPEE-10266, 2.0.16 e 2.1.9.
Melhor previnir, do que remediar…
Para você que é varejista pode ser um pouco complicado para atualizar sua loja virtual Magento e evitar que sua loja, seus clientes e você sofram por conta de alguns desses ataques.
Se se sentir em apuros, converse com seu desenvolvedor de confiança e ajude a trazer mais segurança para o seu negócio.
Para finalizar! Deixarei abaixo alguns links para você conhecer outras formas de tornar sua loja mais segura e confiável:
Espero ter ajudado e se tiver dúvidas, deixe nos comentários!
Se você gostou deste conteúdo peço que ajude mais pessoas a encontrarem esse post, compartilhe com seus amigos.
Abraço.
Fonte: Magento Tech Resources