Новини

PrestaShop 1.7.2.5 е тук

Публикуване на коментар

PrestaShop 1.7.2.5 вече е на разположение. Това е подобрение с цел сигурност за всички предишни версии на PrestaShop 1.7.

Изследователите по сигурността неотдавна съобщиха на екипа на разработчици на система две уязвимости, засягащи Back Office, един от които критичен.

Проблем 1 – критичен

Несерилизирани параметри, изпращани след логин в админ панела, могат да бъдат използвани за изпълнение на код с ниво на достъп, като това на PHP процеса на сървъра. 

Този въпрос беше въведен от PR, обединени през септември 2016 г. Затова всички 1.7 версии на PrestaShop са засегнати.

Поправката може да се намери в PR # 8772 .

Проблем 2 – Незначителен

Неправилно ескпейпнати параметри могат да бъдат използвани от оторизирано в админ панела лице, за да се покаже съдържанието и да се навигира в директорията на магазина /img .

Този проблем бе въведен чрез комит през март 2014 г., така че всички версии на PrestaShop, започнали на 1.6.0.4, са засегнати.

Поправката за 1.7.x може да се намери в PR # 8755 .

Поправката за 1.6.x може да се намери в PR # 8785 (ще бъде на разположение в предстоящия 1.6.1.19).

** Моля, имайте предвид, че и двете атаки могат да бъдат експлоатирани само от потребители, които имат валидни идентификационни данни към админ панела . **

Ако в момента използвате PrestaShop 1.7, настоятелно ви препоръчваме да надстроите до v1.7.2.5 веднага !

Изтеглете PrestaShop 1.7.2.5 сега!

Благодарим отново на Робин Перели от RIPS Technologies и на членовете на Core @alegout и @tomlev за отстраняването на проблемите.

Напомняне за отговорното разкриване на бъгове

Отговорното (и личното) разкриване е стандартна практика, когато някой срещне проблем, свързан със сигурността: преди да го направи обществено достояние, откривателят информира ядрото за това, за да може да се подготви поправка и така да се сведат до минимум потенциалните щети.

Екипът на PrestaShop се опитва да бъде много активен при предотвратяването на проблеми със сигурността. Въпреки това, проблемите могат да се появят без предизвестие.

Ето защо съществува имейл адреса security@prestashop.com : всеки може да се свърже с екипа с всички подробности относно проблеми, които засягат сигурността на търговците или клиентите на PrestaShop. Нашият екип за сигурност ще ви отговори и ще обсъди график за публикуване на подробностите.

Разбирането на проблем със сигурността означава да знаете как нападателят се е намесил и хакнал сайта. Ако имате тези подробности, моля, свържете се с нас поотделно (и моля, не публикувайте тези подробности на обществеността, включително и на Forge!). Ако не знаете как нападателят го е получил, помолете за помощ на форумите за поддръжка .

Какво представлява процесът на PrestaShop за справяне с проблемите на сигурността?

Благодарение на стриктното използване на SemVer подобна схема на версиите , ние се чувстваме уверени, че подобренията на PrestaShop 1.7 са много лесни ъпгрейди за всички потребители. Пакетните версии са предназначени за корекции на грешки и проблеми със сигурността, които са съвместими с обратното, и корекциите за сигурност трябва да бъдат освободени, веднага щом бъдат са поправени.

PrestaShop държи вашите магазини и клиенти в безопасност и вземаме сигурността много сериозно. Благодарим ви, че разбрахте проблема, който ни засяга днес – и ви благодарим за бързото актуализиране на всички магазини, за които отговаряте!