Il 20 gennaio è stata rilasciata una nuova patch di sicurezza per Magento 1 e 2. La patch in questione, chiamata SUPEE-7405, risolve 20 diversi problemi di sicurezza e 5 bug minori che affliggono tutte le versioni di Magento 1 CE precedenti alla 1.9.2.3 e EE precedenti a 1.14.2.3 nonché Magento 2 CE e EE con numero di versione inferiore a 2.0.1. Con Giacomo Mirabassi, Magento Backend Developer di MageSpecialist, scopriamo qualche dettaglio in più su questa patch.
È importante non confondere questa patch con un’altra (chiamata SUPEE-7616) uscita pochi giorni prima e che è invece dedicata ad allineare il funzionamento di Magento con le nuove specifiche tecniche del corriere americano USPS, integrato nell’installazione di default di Magento.
Tra le molte falle di sicurezza che vengono chiuse da questa patch, ce ne sono alcune particolarmente gravi, perché permettono ad un eventuale aggressore di accedere al backend “dirottando” la sessione di un utente amministratore esistente tramite un attacco Cross-site scripting (XSS). Ad esempio inserendo del codice javascript appositamente creato nel campo email durante la registrazione nel frontend.
Altre falle sono invece più difficili da utilizzare da parte di un aggressore perché è necessario che l’amministratore del sito visiti un link appositamente costruito mentre ha già effettuato il login al sistema. In questo caso per riuscire nel suo intento l’aggressore deve utilizzare un pizzico di ingegneria sociale per indurre l’amministratore del sito a finire in trappola.
Ci sono poi un paio di vulnerabilità che permettono ad un aggressore di estrarre alcune informazioni sensibili sugli ordini e sui clienti del sito e un’altra che invece permette ad un aggressore di cancellare o modificare le recensioni dei prodotti. È facile immaginare questa vulnerabilità venga molto usata dagli spammer.
Tutte queste vulnerabilità fixate rendono evidente che questa è una patch molto importante per mantenere in sicurezza il proprio negozio online e quelli dei propri clienti, fermo restando che il rischio connesso alla vulnerabilità va sempre misurato anche in funzione delle specifiche configurazioni e modalità d’uso dell’installazione Magento e anche dell’ambiente server in cui gira.
Ci sono però dei caveat da tenere presente prima e dopo l’installazione della patch SUPEE-7405, in particolare:
- La nuova patch utilizza la forma abbreviata di inizializzazione degli array, per cui è incompatibile con PHP inferiore alla versione 5.4.
- In alcuni casi possono presentarsi problemi con le immagini se l’utente con cui gira il webserver è diverso dall’utente di PHP.
- La patch in questione dipende dalle patch SUPEE-5344 e SUPEE-6788 che devono essere state precedentemente installate.
- In giro per forum e siti tecnici si trovano diverse segnalazioni di altri problemi insorti dopo l’installazione della patch con ambienti e configurazioni particolari.
Non possiamo quindi che raccomandarvi di analizzare subito le vostre installazioni Magento per vedere se le falle di sicurezza risolte da questa patch sono pertinenti e valutare subito il metodo migliore per applicare le correzioni.
Come sempre, il miglior consiglio rimane quello di far installare la patch a chi gestisce la parte tecnica del vostro negozio online e comunque da persone esperte e possibilmente in un ambiente di test prima di procedere in produzione.