Quelle est la faille, quel est le risque ?

Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L'exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c'est à dire:

• identité : prénom, nom, civilité
• société, téléphone, fax
• adresse complète : rue, code postal, ville, région, pays
• date de création et de mise à jour de l'adresse client

Exemple de données brutes récupérées librement :

{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}

Quelles sont les versions de Magento affectées ?

La faille concerne :

• toutes les versions de Magento Community jusqu'à 1.3.3.0 (incluse)
• Magento Enterprise 1.6

Bien que les versions affectées soient relativement anciennes, un certain nombre de sites en production sont toujours basés sur celles-ci. Un test réalisé sur un échantillon de 1.300 sites révèle que 30 à 40% des sites Magento pourraient être concernés par la faille.

Les sites basés sur Magento Community >= 1.4.0.0 ou Magento Enterprise >= 1.7.0.0 ne sont pas affectés.

Pourquoi publier un Advisory sur cette faille ?

Lors d'un récent audit sur un site Magento, une analyse de logs serveurs nous a permis de constater que des tentatives d'exploitation de la faille avaient été effectuées. Certaines personnes a priori mal intentionnées ont donc connaissance de la vulnérabilité, alors même que les victimes potentielles ignorent tout du risque.

D'autre part, s'il corrige les failles qui lui sont signalées, l'éditeur ne communique pas pour autant sur le sujet. Nous n'avons pu trouver aucune communication concernant cette faille. Nous n'avons pas non plus pu trouver d'informations non-officielles via les sites communautaires.

Enfin, même lorsque l'éditeur corrige les failles, il ne fournit pas pour autant de patch, ce qui laisse potentiellement un grand nombre de sites Magento vulnérables sans solution facilement applicable.

La faille est-elle corrigée dans les versions récentes ?

Oui, dans les versions récentes de Magento, la faille est bien corrigée. Plus précisément, la vulnérabilité est corrigée :

• à partir de Magento Community 1.4.0.0
• à partir de Magento Enterprise 1.7.0.0

Pour information :

• La version 1.5.0.0 de Magento C.E. et la version 1.10 de Magento E.E./P.E. étaient affectées par une faille de sécurité majeure, les modifications appropriées ont été effectuées et ont donné lieu à Magento C.E. 1.5.0.1 et Magento E.E. 1.10.0.1 ; les versions affectées étant retirée du téléchargement.
• Bien que la faille clients est corrigée dans les versions récentes, la version 1.3.3.0 n'a pas fait l'objet d'un patch et n'a pas été retirée du téléchargement.

Si vous pensez être concernés ou souhaitez en savoir plus :

Télécharger l'Advisory complet en PDF
Vulnérabilité sur les données clients dans Magento

Quelle est la faille, quel est le risque ?

Une faille de sécurité affecte le processus de commande de certaines versions de Magento Community et Enterprise. L'exploitation de la faille permet la récupération des adresses clients enregistrées sur le site, c'est à dire:

• identité : prénom, nom, civilité
• société, téléphone, fax
• adresse complète : rue, code postal, ville, région, pays
• date de création et de mise à jour de l'adresse client

Exemple de données brutes récupérées librement :

{"entity_id":"1","entity_type_id":"2","attribute_set_id":"0",
"increment_id":"","parent_id":"2","created_at":"2012-04-22 20:13:28",
"updated_at":"2012-04-22 20:13:28","is_active":"1","firstname":"Gabriel",
"lastname":"Bouhatous","company":"The e-Commerce Academy",
"city":"Paris","region":"257","postcode":"75008","country_id":"FR",
"telephone":"068977xxxx","fax":"","region_id":"257","street":
"140 Boulevard Haussmann","street1":"140 Boulevard Haussmann"}

Quelles sont les versions de Magento affectées ?

La faille concerne :

• toutes les versions de Magento Community jusqu'à 1.3.3.0 (incluse)
• Magento Enterprise 1.6

Bien que les versions affectées soient relativement anciennes, un certain nombre de sites en production sont toujours basés sur celles-ci. Un test réalisé sur un échantillon de 1.300 sites révèle que 30 à 40% des sites Magento pourraient être concernés par la faille.

Les sites basés sur Magento Community >= 1.4.0.0 ou Magento Enterprise >= 1.7.0.0 ne sont pas affectés.

Pourquoi publier un Advisory sur cette faille ?

Lors d'un récent audit sur un site Magento, une analyse de logs serveurs nous a permis de constater que des tentatives d'exploitation de la faille avaient été effectuées. Certaines personnes a priori mal intentionnées ont donc connaissance de la vulnérabilité, alors même que les victimes potentielles ignorent tout du risque.

D'autre part, s'il corrige les failles qui lui sont signalées, l'éditeur ne communique pas pour autant sur le sujet. Nous n'avons pu trouver aucune communication concernant cette faille. Nous n'avons pas non plus pu trouver d'informations non-officielles via les sites communautaires.

Enfin, même lorsque l'éditeur corrige les failles, il ne fournit pas pour autant de patch, ce qui laisse potentiellement un grand nombre de sites Magento vulnérables sans solution facilement applicable.

La faille est-elle corrigée dans les versions récentes ?

Oui, dans les versions récentes de Magento, la faille est bien corrigée. Plus précisément, la vulnérabilité est corrigée :

• à partir de Magento Community 1.4.0.0
• à partir de Magento Enterprise 1.7.0.0

Pour information :

• La version 1.5.0.0 de Magento C.E. et la version 1.10 de Magento E.E./P.E. étaient affectées par une faille de sécurité majeure, les modifications appropriées ont été effectuées et ont donné lieu à Magento C.E. 1.5.0.1 et Magento E.E. 1.10.0.1 ; les versions affectées étant retirée du téléchargement.
• Bien que la faille clients est corrigée dans les versions récentes, la version 1.3.3.0 n'a pas fait l'objet d'un patch et n'a pas été retirée du téléchargement.

Si vous pensez être concernés ou souhaitez en savoir plus :

Avis de sécurité complet
Vulnérabilité sur les données clients dans Magento

Le programme du Bargento 2012 est annoncé !

Placé sous le signe des retours d'expérience, le Bargento 2012 sera l'occasion de découvrir les plus grands projets Magento qui ont façonné l'E-commerce ces dernières années. En effet, tous les conférenciers sont des spécialistes de Magento qui ont collaboré sur des projets de grande envergure.

Le Bargento 2012 sera également l'occasion de rencontrer tous les professionnels E-commerce et Magento autour de 34 stands et avec plus de 1 000 visiteurs attendus !

Bargento 2012, c'est aussi des ateliers avec:

• Des formations Magento & E-commerce.
• Des audits gratuits de vos sites par de véritables experts E-commerce.
• Une bourse du travail Magento & E-commerce pour trouver un profil ou bien un emploi idéal.
• L'occasion de rencontrer le CUMEF, Club des Utilisateurs de Magento Enterprise France.
• Une after-party avec plus de 200 personnes !

Informations pratiques du Bargento 2012

Site web de l'événement : http://www.bargento.fr/ Contact des organisateurs : contact@bargento.fr Suivre Bargento sur Twitter : http://twitter.com/bargento Rejoignez les 1 000 visiteurs en vous inscrivant ici : http://www.bargento.fr/inscriptions/

Bargento 2012 est un événement organisé par :

Le programme du Bargento 2012 est annoncé !

Placé sous le signe des retours d'expérience, le Bargento 2012 sera l'occasion de découvrir les plus grands projets Magento qui ont façonné l'E-commerce ces dernières années. En effet, tous les conférenciers sont des spécialistes de Magento qui ont collaboré sur des projets de grande envergure.

Le Bargento 2012 sera également l'occasion de rencontrer tous les professionnels E-commerce et Magento autour de 34 stands et avec plus de 1 000 visiteurs attendus !

Bargento 2012, c'est aussi des ateliers avec:

• Des formations Magento & E-commerce.
• Des audits gratuits de vos sites par de véritables experts E-commerce.
• Une bourse du travail Magento & E-commerce pour trouver un profil ou bien un emploi idéal.
• L'occasion de rencontrer le CUMEF, Club des Utilisateurs de Magento Enterprise France.
• Une after-party avec plus de 200 personnes !

Informations pratiques du Bargento 2012

Site web de l'événement : http://www.bargento.fr/ Contact des organisateurs : contact@bargento.fr Suivre Bargento sur Twitter : http://twitter.com/bargento Rejoignez les 1 000 visiteurs en vous inscrivant ici : http://www.bargento.fr/inscriptions/

Bargento 2012 est un événement organisé par :

Flux (rss): http://www.fragento.org/feed/rss.html