The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критические уязвимости в платформе электронной коммерции Magento

29.01.2020 21:28

Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):

  • CVE-2020-3716 - возможность выполнения кода атакующего при выполнении десериализации внешних данных;
  • CVE-2020-3718 - обход механизмов защиты, приводящих к выполнению произвольного кода на стороне сервера;
  • CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД.


  1. Главная ссылка к новости (https://magento.com/security/p...)
  2. OpenNews: В платформе электронной коммерции Magento устранено 75 уязвимостей
  3. OpenNews: Опасные уязвимости в платформе электронной коммерции Magento
  4. OpenNews: Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт
  5. OpenNews: Уязвимости в платформе электронной коммерции Magento
  6. OpenNews: Критическая уязвимость в платформе электронной коммерции Magento
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: magento
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:41, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Никогда такого не было и вот опять.
     
     
  • 2.4, Аноним (4), 21:53, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он знали на что шли. и наверняка нехило сэкономили.
     

  • 1.2, commiethebeastie (ok), 21:45, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кому кредитных карт с персональными данными?
     
  • 1.5, Adobe (?), 22:34, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    бл... кто помнит как звали того Кумара который нам ЭТО купил и нахрена он это сделал?
     
  • 1.6, Аноним (6), 08:13, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Адоб и критические уязвимости - прям как в старые добрые времена flash
     
  • 1.7, Аноним (6), 08:16, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оно вроде написано на zend framework - который помер
    Или уже переписали на laminas?

     
     
  • 2.9, конь в пальто (?), 12:24, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    при чем на первом зф. и рефакторить вроде как не собираются. там те еще олени в разработке сидят.
     
     
  • 3.11, sin (??), 13:48, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это была первая, которая EOL. Вторая на Symfony.
     
     
  • 4.13, конь в пальто (?), 15:03, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вторая тоже на zf1. https://github.com/magento/magento2/blob/2.3/composer.json#L40-L82
    они используют некоторые symfony компоненты, но то же через 1 место, испоганив их своими обертками.
     

  • 1.8, Аноним (8), 08:53, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД.

    little bobby tables strikes again

    а чо глобально надёжно ынтырпрайзно
    вЭбота фреймворки жавы CIO закупки МБА вот это всё))) а потом золотой парашют. и по новой!

     
     
  • 2.15, Аноним (6), 06:15, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Используй фреймворк - говорили они
    Там нет возможности sql injection - говорили они
     
     
  • 3.16, KonstantinB (??), 14:14, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements.
     
     
  • 4.17, Аноним (6), 09:51, 01/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А веть это позиционируется как одно из основновных приемуществ

    Вывод - фреймворк не нужны

     
     
  • 5.18, KonstantinB (??), 17:55, 01/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наличие вилки не мешает жрать руками. Вывод - вилки не нужны!
     
     
  • 6.20, Й (?), 17:04, 02/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема не в том что можно есть руками

    Проблема в том что тебе нагло врут что вилка защищает от наличия тараканов и мух в еде

     
     
  • 7.21, KonstantinB (??), 02:31, 03/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надо меньше читать хабр по утрам и больше думать головой.
     
     
  • 8.22, Аноним (22), 09:00, 04/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    но все продвиженцы фрейморков утверждают что если используешь фреймворки - то ду... текст свёрнут, показать
     
  • 5.19, KonstantinB (??), 18:05, 01/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно.

    На этой идее вполне можно сделать статический анализатор (но он должен быть достаточно конфигурируемым, чтобы ему объяснить API конкретного DBAL).

     

  • 1.10, Michael Shigorin (ok), 12:43, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    #шо05?
     
     
  • 2.14, Аноним (14), 20:47, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Даги сила, ежжи
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру