IMPORTANTE Aggiornamento di sicurezza Magento: scarica e installa le patch subito.

Aggiornamento Sicurezza Magento Italia
No ratings yet.

AGGIORNAMENTO 15 MAGGIO 2015:

Magento ha rilasciato una nuova patch si sicurezza molto importante. SUPEE-5994 – Rilasciata il 15 Maggio 2015 Maggiori Informazioni qui


 

La sicurezza Magento, ed in qualsiasi CMS usa per l’E-commerce, è fondamentale, soprattutto per la protezione dei dati sensibili degli utenti, quali numeri di carta di credito o conto e altro.

Da qualche giorno Magento ha rilasciato due Patch di sicurezza molto importanti da eseguire immediatamente su tutti gli store Magento.Critical Reminder - Download and install Magento Security Patch

Questa precauzione è necessaria per prevenire attacchi in modalità remota su tutte le versioni di Magento Community Edition.

Questa è una misura preventiva che Magento al fine di ridurre al minimo rischi legati alla sicurezza dei propri Ecommerce.

Per i più curiosi, qui è stato pubblicata la spiegazione tecnica da Check Point Software Technologies su come hanno scoperto la vulnerabilità.
Ecco il video che mostra la vulenrabilità della pitattaforma:

Come effettuare l’aggiornamento di sicurezza?

Per eseguire le patch di sicurezza segui questi passaggi:

  1. Verifica la presenza di file sconosciuti nella root directory dei documenti del server. Se riscontri la presenza di un file di questo tipo, è molto probabile che siate stati attaccati.
  2. Scarica le 2 patch dalla pagina download di Magento Community Edition:
      • SUPEE-5344 – Risolve un bug che permette l’esecuzione di exploit sul server – 9 Febbraio 2015
      • SUPEE-1533 – Risolve due bug che permettono l’esecuzione di exploit sul server – 3 Ottobre 2014
      • SUPEE-5994 – Rilasciata il 15 Maggio 2015 Maggiori Informazioni qui

    Entrambe le patch sono necessarie per evitare che l’exploit esegua codici non previsti sul server.

    Per scaricarle, vai sulla pagina Download di Magento

    A metà pagina trovi la sezione con le Patch:

    Magento Security PatchSeleziona quindi dal menu a tendina la versione del tuo Magento e clicca sul Bottone DOWNLOAD.
    Per poter scaricare la patch, dovrai essere registrato sul sito web, e una volta effettuato il login il download partirà in automatico.

    Scarica la patch di sicurezza Magento

  3. Una volta scaricate le due patch, carica i files nella root del tuo Magento.
    ATTENZIONE: Implementare e testare le patch in un ambiente di sviluppo e testing prima di confermare che esse funzionino come ci si aspetta, prima di utilizzarle sul proprio sito di produzione.
    ATTENZIONE 2:
    Ricordati anche di effettuare un backup del tuo Store. Se non sai come fare, queste guide potrebbero tornarti utili: Backup del Database Magento e Trasferire Magento Qualora decidessi di eseguire le patch subito sul tuo server, segui questi passaggi:

    1. Carica la patch nel server, troverai un file con estensione .sh da caricare via FTP nella cartella di installazione del tuo sito Magento.
    2. Tramite Shell, via SSH, esegui il file ( Se non sai di cosa stiamo parlando, leggi anche l’articolo SSH guida per principianti) in questo modoPer le patch con estensione .sh:

      [php]sh patch_file_name.sh[/php]

      Esempio:

      [php]sh PATCH_SUPEE-1868_CE_1.7.0.2_v1.sh[/php]


      Per le patch con estensione .patch:

      [php]patch –p0 < patch_file_name.patch[/php]

      Esempio:

      [php]sh PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38[/php]

    3. Una volta eseguito il comando, se tutto va per il verso giusto, la shell ti darà un messaggio di conferma:

      [php]Patch was applied/reverted successfully.[/php]

    4. Ora aggiorna la cache nel pannello di Admin, sotto “System > Cache Management“.

Per ulteriori informazioni, su come proteggere il tuo sito Magento, leggi anche Sicurezza Magento: un’utile check list per proteggere il tuo E-Commerce
.

Se hai bisogno del nostro supporto per l’aggiornamento, contattaci ora, i nostri tecnici potranno aiutarti a risolvere il problema.

Ti è piaciuto questo articolo? Votalo!

EBOOK GRATIS: 10 Consigli per migliorare la SEO del tuo Magento
Ebook Seo Magento
Iscriviti subito per scaricare GRATUITAMENTE l'ebook e migliora subito il tuo shop per posizionarlo al meglio sui motori di ricerca! 

You may also like...

  • Ciao a tutti,
    vi informiamo che abbiamo pubblicato una pagina con delle informazioni più complete e molte risorse utili per le patches di sicurezza in Magento.

    http://www.magentiamo.it/patch-sicurezza-magento-security-center/

  • Claudio Dell’Orco

    Ciao Andrea,
    ok il discorso delle patch di sicurezza..da poco è uscita la versione 1.9.2 che dovrebbe già contenerle all’interno? me lo confermi?
    se si utilizzerei quella ma per la traduzione in italiano si utilizza sempre quella per la 1.9.1?

    Grazie
    Claudio

  • Ciao,
    Siccome vorrei provare ad installare la patch in locale prima di installarla in produzione, come posso fare ad installarla con XAMPP senza la shell? O meglio senza il comando sh.
    Grazie mille.
    Un saluto.

    • Ciao,

      cercando qua e la ho trovato questo:

      Critical Reminder: Download and install Magento security patches. (FTP with no SSH access)

      http://magento.stackexchange.com/questions/63858/critical-reminder-download-and-install-magento-security-patches-ftp-with-no-s

      Anche se non ho provato potrebbe funzionare. Fammi sapere se ci riesci.

      Se vuoi comunque applicare la patch in locale non dovresti avere problemi via ssh.
      Cosa ti blocca?

      • Ciao,
        Ho installato la patch in produzione con il metodo “manuale” in quanto l’ssh mi dava problemi.
        Alla fine sono solo 7 file da sovrascrivere.
        Ne approfitto per chiederti un’altra cosa però, sempre inerente:
        Il messaggio in magento non scompare automaticamente? Intendo quello nella sezione notifiche del backend. Va eliminato comunque a mano. Giusto?

        • Esatto, quello lo devi eliminare o segnare come letto.

          Puoi comunque testare se il tuo è ancora vulnerabile o no a questo indirizzo

          http://magento.com/security-patch

          • Grazie mille!

          • Non c’è di che! Il tuo aggiornamento manuale ha funzionato bene?

          • Si assolutamente, dal link che mi hai girato ho controllato e pare tutto a posto!
            Grazie ancora.

      • Josephine Papa

        Buongiorno Andrea,

        ringrazio per le tue informazioni che naturalmente abbiamo seguito.

        l’intervento è stato eseguito da arvixe con esito positvo.

        grazie ancora per la tua disponibilità

        alla prossima

        buona giornata

        • Buongiorno,
          bene, sono contento che siate riusciti a risolvere il problema.

          Per testare se lo store è stato messo in sicurezza correttamente, Magento ha rilasciato questo Tool per fare il test: magento.com/security-patch.

          Buona giornata!

  • Josephine Papa

    Ciao, abbiamo da poco costruito un e-commerce con magento e dovremmo scaricare la patch 5344 e 1533 di sicurezza, ma non essendo un esperto non saprei come fare.
    il nostro e-commerce magento è stato acquistato con arvixe pertanto
    essendo un aggiornamento di sicurezza mi chiedevo se dovrei installarlo lo stesso visto che i nostri dati vengono salvati su un server di arvixe. Inoltre avevo già provato ad installarlo ma mi dava un errore. Grazie Josephine

    • Buongiorno,
      l’aggiornamento di sicurezza va fatto su qualsiasi server. Nell’articolo è indicata tutta la procedura per applicare le patch di sicureza e rendere Magento sicuro.

      Per effettuare questo importante aggiornamento servono gli accessi ssh del server che ospita Magento, ma spesso se si tratta di condivisi il fornitore non da gli accessi ssh.

      In questo caso, le consiglio di contattare direttamente arvixe per applicare le patch.

  • Mattia

    Ciao, ho Magento 1.8.0.0 e devo applicare la patch 5344 di sicurezza.
    Via SSH mi dà problemi, il file batch .sh dà errori. Ecco l’output:

    # sh ./PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh

    Checking if patch can be applied/reverted successfully…

    ERROR: Patch can’t be applied/reverted successfully.

    patching file app/code/core/Mage/Admin/Model/Observer.php

    Hunk #1 FAILED at 44.

    Hunk #2 FAILED at 58.

    Hunk #3 FAILED at 69.

    3 out of 3 hunks FAILED — saving rejects to file app/code/core/Mage/Admin/Model/Observer.php.rej

    patching file app/code/core/Mage/Core/Controller/Request/Http.php

    Hunk #1 FAILED at 76.

    Hunk #2 FAILED at 534.

    2 out of 2 hunks FAILED — saving rejects to file app/code/core/Mage/Core/Controller/Request/Http.php.rej

    patching file app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php

    Hunk #1 FAILED at 55.

    1 out of 1 hunk FAILED — saving rejects to file app/code/core/Mage/Oauth/controllers/Adminhtml/Oauth/AuthorizeController.php.rej

    patching file app/code/core/Mage/XmlConnect/Model/Observer.php

    Hunk #1 FAILED at 143.

    Hunk #2 FAILED at 160.

    2 out of 2 hunks FAILED — saving rejects to file app/code/core/Mage/XmlConnect/Model/Observer.php.rej

    patching file lib/Varien/Db/Adapter/Pdo/Mysql.php

    Hunk #1 FAILED at 2834.

    1 out of 1 hunk FAILED — saving rejects to file lib/Varien/Db/Adapter/Pdo/Mysql.php.rej

    Cosa posso fare?
    Grazie

  • francesco novelli

    Ciao Manuela , ho scaricato le patch ma non sono riuscito ad installarle. Mi dici quale procedura devo seguire? Grazie Francesco

    • Salve Francesco,
      abbiamo aggiornato l’articolo da poco con la guida dettagliata su come fare l’aggiornamento. Spero che possa esserti di aiuto.