Afin de palier aux 3 failles XSS de Magento, j’ai fais un post sur Wikigento qui donne une solution “hébergeur” à ces soucis. C’est plus un palliatif qu’un correctif mais c’est efficace.
Si vous êtes client final ou développeur : Informez vos hébergeurs et demandez leur de mettre en place le correctif. Ce correctif utilise “LocationMatch” et ne marchera pas en .htaccess, donc il vous faudra passer par votre hébergeur ou attendre le patch PHP que Gabriel (de Fragento) prépare.
Si vous êtes administrateur ou hébergeur : les correctifs sont simples et prennent quelques minutes à mettre en place. Si votre serveur ou votre infrastructure est mutualisée, vous pouvez mettre directement la configuration fournit dans le fichier apache2.conf pour que le patch soit appliqué à l’ensemble des sites hébergés.
On a testé le correctif, enfin le palliatif, sur nos serveurs d’hébergement, pas de soucis en apache2
Bonjour Kameo,
Dans votre article vous avez écrit cette phrase:
Gabriel nous propose de patcher le fichier /404/skin/default/index.html
J’ai la dernière version 1.4.1.1 de Magento et j’ai effectivement cette faille.
Sauf qu’en cherchant sur mon serveur, je n’ai pas de dossier qui s’appelle 404.
Enfin il est pas à la racine du serveur.
Je l’ai cherché mais je ne l’ai pas trouvé. Où se trouve t-il?
