เมื่อเร็ว ๆ นี้ Magento ได้รับข่าวเนื่องจากมีการโจมตีระบบรักษาความปลอดภัยการชำระเงินบ่อยครั้ง กรณีล่าสุดของการโจมตี Magento ได้เห็นเครื่องขูดบัตรเครดิตที่กำหนดเป้าหมายระบบความปลอดภัยการชำระเงินของร้านค้า Magento เพื่อขโมยข้อมูลบัตรเครดิตที่สำคัญยิ่ง ดังนั้น Magento จึงระมัดระวังช่องโหว่ในระบบของตน และด้วยความพยายามที่รอบคอบ จึงออกแพตช์ความปลอดภัยเป็นประจำเพื่อเป็นมาตรการป้องกันการโจมตีในอนาคต
ล่าสุด Magento ได้เปิดตัวแพตช์ความปลอดภัยชื่อรหัส “SUPEE 9652” เพื่อแก้ไขช่องโหว่ที่สำคัญในองค์ประกอบอีเมล Zend framework 1 และ 2 ช่องโหว่ดังกล่าวถือว่าวิกฤตด้วยคะแนนระดับความรุนแรงที่ 9.8 ซึ่งค่อนข้างสูง
แพตช์ SUPEE 9652 มีให้สำหรับ Enterprise Edition 1.9.00 – 1.14.3.1 และ Community Edition 1.5.0.11 – 1.9.3.1 โดยหลักแล้วจะจัดการกับปัญหาของการเรียกใช้โค้ดจากระยะไกลโดยใช้ช่องโหว่ของเมล โดยผู้โจมตีใช้ช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายในระบบ Magento ดังนั้นจึงแซงหน้าสิทธิ์ของผู้ใช้
ฉันจะรู้ได้อย่างไรว่าฉันอ่อนแอ
แม้ว่าช่องโหว่ดังกล่าวจะถือว่าร้ายแรง แต่ก็มีเพียงไม่กี่ระบบที่ได้รับผลกระทบจนถึงปัจจุบัน ทั้งนี้เนื่องจากเพื่อให้ได้รับผลกระทบจากช่องโหว่ การติดตั้งจำเป็นต้อง:
- เลือกและใช้ Sendmail เป็นตัวเลือกในการส่งจดหมาย: หากเซิร์ฟเวอร์ของคุณใช้ Sendmail เป็นตัวแทนการส่งจดหมาย ในกรณีนั้นไซต์ Magento มีแนวโน้มที่จะถูกโจมตีด้วยการเรียกใช้โค้ดจากระยะไกล
- มีการตั้งค่าที่ไม่ใช่ค่าเริ่มต้น :หากตั้งค่า 'Set Return Path' เป็น 'Yes' แสดงว่าร้าน Magento ของคุณมีความเสี่ยงสูงที่จะถูกโจมตี
ฉันจะป้องกันตัวเองได้อย่างไร
SUPEE-9652 แพตช์ความปลอดภัย Magento ที่ออกใหม่ได้รับการช่วยเหลือแล้ว ทันทีที่ Magento เปิดตัวแพตช์ใหม่ ขอแนะนำให้ติดตั้งโดยเร็วที่สุด นอกจากนี้ ขอแนะนำให้ตรวจสอบการตั้งค่าการส่งเมลของคุณด้วย ไปที่การตั้งค่าระบบที่ใช้ควบคุมที่อยู่ "ตอบกลับ" สำหรับอีเมลที่ส่งจากร้านค้า Magento ของคุณ:
- ในกรณีของ Magento 1: นำทางจาก System-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
- ในกรณีของ Magento 2: นำทางจาก Stores-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
ในทั้งสองกรณีข้างต้น ให้เปลี่ยนการตั้งค่า “Set Return-Path” ถึง “ไม่”
เพื่อความปลอดภัยของร้านค้า Magento ให้ติดตั้งแพตช์ทั้งหมดที่ออกโดย Magento ทันทีที่ปล่อยออกมา ความล่าช้าในการบังคับใช้มาตรการป้องกันอาจทำให้ผู้โจมตีมีโอกาสใช้ประโยชน์จากช่องโหว่ดังกล่าวทันทีที่เขา/เธอทราบ การตรวจสอบทางเทคนิคและความปลอดภัยของร้านค้าของคุณเป็นระยะสามารถช่วยรักษาความปลอดภัยให้กับร้าน Magento ของคุณเป็นเวลานาน และอัปเดตคุณด้วยแพตช์ความปลอดภัยล่าสุด