Magento Forum

   
Attenzione-Vulnerabilità
 
weaper76
Sr. Member
 
Avatar
Total Posts:  120
Joined:  2009-02-20
 

E’ stata scoperta una vulnerabilità che permetterebbe un attacco di CSFR come riportato nel blog ufficiale di magento. Per sfruttare questa vulnerabilità l’utente maleintenzionato deve conoscere il path della parte amministrativa. Per ovviare a questo inconveniente è consigliato scegliere un path diverso in caso di nuove installazioni (è possibile sceglierlo in fase d’installazione), mentre per le installazioni esistenti è consigliato cambiare il path aprendo il file app/etc/local.xml e cambiando il frontname in questa parte di codice

<admin>
        <
routers>
            <
adminhtml>
                <
args>
                    <
frontName><![CDATA[il_tuo_path]]></frontName>
                </
args>
            </
adminhtml>
        </
routers>
     </
admin>

 
Magento Community Magento Community
Magento Community
Magento Community
 
paoloconti
Jr. Member
 
Total Posts:  1
Joined:  2009-01-20
 

Ma in realtà quella non è una patch....cambiando il nome del percorso admin fai in modo di essere il solo a conoscere il tuo path e per questo la vulnerabilità non può essere sfruttata..Ma rimane..
Consiglierei agli utilizzatori magentiani di leggere questo:
http://magentoexpert.co.uk/2009/02/27/magento-csrf-vulnerability/
è in english ma si capisce più che bene cosa fare.
Al momento ho provato su diversi siti ..ma nessuno ha ancora patchato...sveglia gente!!!
PS....nemmeno questo sito…
https://www.magentocommerce.com/store/index.php/admin

I vulnerability advisor non van sottovalutati.Soprattutto se si fa e-commerce..

 
Magento Community Magento Community
Magento Community
Magento Community
Magento Community
Magento Community
    Back to top