Sürgős frissítésre szorulnak a Zen Cart alapú webáruházak
A népszerű Zen Cart súlyos biztonsági hibáktól szabadítható meg egy frissítéssel. Nem célszerű halogatni a javítások telepítését!A Zen Cart fejlesztői arra hívták fel a figyelmet, hogy a nyílt forráskódú alkalmazásukban több sebezhetőséget is orvosolni kellett. Ezek között veszélyes hibák is találhatók, amelyek könnyedén hozzájárulhatnak különféle online támadásokhoz. Mindez pedig a kiberbűnözés érdeklődését is felkeltheti, hiszen a Zen Cart jelenleg több mint százezer webáruház alapját adja, vagyis nagyon komoly támadási felületet biztosít, és széles körű károkozások lehetőségét veti fel.
A legtöbb kockázatot hordozó sérülékenység az ajax.php fájlban található. A hibára a svájci High-Tech Bridge biztonsági vállalat szakemberei figyeltek fel, és azonnal jelezték a felfedezésüket a fejlesztőknek. Ők pedig rekord gyorsasággal, egy napon belül javították is a rendellenességet. Ilia Kolochenko, a High-Tech Bridge elnök-vezérigazgatója elmondta, hogy a feltárt sebezhetőség részleteit december 16-án fogják nyilvánosságra hozni, tehát addig minden érintett webáruházat érdemes frissíteni.
Jelenleg annyit lehet tudni, hogy a hiba tetszőleges PHP-kódok futtatását teszi lehetővé, és bizonyos körülmények között teljes körű hozzáférést biztosíthat a webshop kiszolgálásában résztvevő fájlokhoz, illetve adatbázisokhoz. Mindezt úgy, hogy a kihasználása állítólag semmiféle nehézséget nem okoz, különösebb szakértelemre sincs szükség a támadások végrehajtásához. Természtesen a támadások nehézsége attól is függ, hogy maga a webszerver milyen védelmi megoldásokat tartalmaz.
A sebezhetőséget eddig a Zen Cart 1.5.4-es verziójában sikerült kimutatni. A korábbi kiadások nem tartalmazzák azt a sebezhető kódot, ami most a problémákat okozza.
A Zen Cart fejlesztői a fenti sérülékenység mellett további biztonsági résekről is beszámoltak. Ezek leginkább XSS (cross-site scripting) típusú támadásokat tesznek lehetővé. Az egyik a megrendelésekhez fűzhető megjegyzések esetenkénti nem megfelelő ellenőrzésére vezethető vissza. Egy másik pedig az adminisztrációs felület egyik beviteli mezője kapcsán merült fel. E hibák kockázatát csökkenti, hogy kizárólag akkor használhatók ki, ha a támadó előzőleg be tud jelentkezni az adminisztrációs felületre.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.