Biztonsági rés a Prestashop-okban

Egy új, 1.4.x-től az 1.6.0.14-es verzióig terjedő (tehát az új 1.6.1.0 már megbízható) biztonsági rést fedezett fel pár hete Vincent Herbulot IT Biztonsági Szakember, melyről egyből értesítette a Prestashop illetékeseit. Köszönjük Neki! 🙂

A Prestashop azonnal reagált és nem rég közzé tettek egy modult, mely befoltozza a biztonsági rést, valamint a “kódolósabbaknak” magát a javítandó forráskódrészleteket is.

prestashop_biztonsagi_res

A modult INNEN tudjátok letölteni, a forráskódot pedig ITT tudjátok tanulmányozni.

A modul feltelepítésénél és aktiválásánál több dolgot nem kell tenni. A hivatalos bejelentés a Prestashop Blog-ban jelent meg, melyet ITT olvashattok. Ezen kívül a Blog egy másik hivatkozó cikkében szó van az általános 4 fő biztonsági tanácsot tartalmazó gondolatmenetről is, ITT tudjátok elolvasni.

Magyarul, röviden és tömören ezek a következők:

1. Lehetőségeid szerint mindig frissítsd a shopod, ne hagyd, hogy túl régi motor alatt üzemeljen az áruházad,
2. Védd külön jelszóval az admin könyvtáradat .HTACCESS fájl segítségével (erről ITT olvashatsz angolul, magyarul pedig ITT),
3. Használj erős jelszót az admin felületedhez (számok, kisbetűk-nagybetűk keveréke), és végül
4. Amennyire lehetséges, változtasd meg az admin URL-t. Jelenlegi rendszer alapján az admin URL “admin”+ néhány szám és betű (bizonyos verziókban csak szám), de legbiztosabb, ha valami teljesen egyedi elérést adsz neki.

Több shop-ból kaptam visszajelzést, miszerint a modul telepítés után az alábbi hibaüzenetet adja:

“The security update could not be applied to your shop. The module cannot execute the patch on your server configuration.
Please check the details below for each update to see how you can implement the patch on your shop.”

A Prestashop Fórum ide vágó topikja szerint legalább két oka lehet a hibaüzenetnek; az egyik, hogy a szerveren ki kell kapcsolni a “safe_mode”-ot a php.ini beállításokban (a képen bekapcsolt állapotban látható):

safe_mode_prestashop