Pokud odebíráte newsletter PrestaShopu, dorazil Vám dnes e-mail s předmětem „PrestaShop Security Issue flag„.
Případně den poté ještě „Available patch – PrestaShop Security Issue flag„.
Tato zranitelnost a přesný popis útoku byl vyzkoumán týmem OpenServis + PrestaShop tvůrci/autory/maintainers.
Nebylo tam zřejmě úplně dobře vykomunikováno co je třeba učinit, či co to znamená. Vysvětlíme.
Pokud jste na hostingu OpenServis, tak aktuálně teď hned teoreticky nic, tato zranitelnost sama o sobě není zneužitelná, ale je zneužitelná pouze v případě, další druhotné zranitelnosti, pokud se na e-shopu vyskytne. Ale doporučujeme zvážit minimálně nabízenou úpravu (viz níže), aby se předešlo zranitelnosti v budoucnu!
Uvedený workaround navrhl náš dlouholetý spolupracovník, PrestaShop specialista, náš dobrý kamarád, Daniel Hlaváček.
Tento workaround způsobí, že Vám přestane fungovat MySQL cache (přes kterou probíhal útok v případě další souběžné zranitelnosti) a automaticky přepne cache na filesystem.
EDIT: Workaround nyní dává smysl pouze u PrestaShopu 1.6. O pár dní později (viz níže) vyšel přímo update(patch) pro PS 1.7, který Vám nadále dovolí používat MySQL cache, workaround již tedy není nutno používat u této verze.
Na hostingu OpenServis testujeme výskyt této nákazy již od počátku výskytu tohoto malware 1x denně za Vás.
Vše máme pod dohledem a monitorujeme situaci, pokud by se nějaká nákaza objevila na Vašem e-shopu, řešili bychom a informovali Vás. Náš hosting vždy systematicky sleduje PrestaShopy našich zákazníků a pokud s někým pracujeme, přejeme si, aby hostoval u nás, jelikož máme vše pod dohledem a můžeme hromadně provádět kontroly a využívat mnoho nástrojů naší výroby, které u jiných hostingů nemáme možnost využívat.
Uvedená zranitelnost existuje u PrestaShopu od roku 2014 a byla objevena až nyní, také díky naší investigaci a skvělé práci PrestaShop security teamu.
Doporučujeme pro jistotu jít cestou aktualizace PrestaShopu (1.7.8.7) nebo alespoň dílčích úprav (viz: https://github.com/PrestaShop/PrestaShop/pull/29153/files).
Pokud byste chtěli být „up to date“ a mít e-shop na poslední verzi PrestaShopu, neváhejte nás oslovit – Aktualizaci PrestaShopu na poslední verzi děláme běžně. Vyplatí se to zejména, pokud aktualizujete z nějaké starší verze.
Pokud byste chtěli řešit pouze selektivní úpravu (opravu chyby v jádru PS) bez nutnosti aktualizovat celou Prestu, cena za tuto službu je 1 000 Kč + dph, můžete objednávat přes e-mail, dodání do druhého dne.
Samozřejmě je možno oslovit i jiného vývojáře, který Vám tuto úpravu může zprostředkovat. Může to učinit kdokoliv, kdo se v PrestaShopu vyzná.
EDIT 2022/10:
Již je k dispozici modul:
Bezpečnostní MySQL Cache FIX (červenec 2022) – PS modul konečně k dispozici
Doporučujeme pro všechny případy u nás objednat alespoň dílčí řešení bez nutnosti aktualizace PrestaShopu, aby se zamezilo využití této zranitelnosti v budoucnu.
Tento blog post je návazností na tento, kde jsme popisovali nutnost aktualizací balíkových modulů + popsali útok:
EDIT: 22. 7. 2022:
Podařilo se nám ve spolupráci s PrestaShop developer týmem objevit tu chybu, kterou malware zneužívá, popsáno zde:
https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
EDIT: 25. 7. 2022:
Také dle našeho podnětu byla tato druhotná chyba opravena v nové verzi PS 1.7.8.7:
https://build.prestashop.com/news/prestashop-1-7-8-7-maintenance-release/
Slovo závěrem
Webové zranitelnosti se občas prostě bohužel objeví, potká to i ty nejlepší, nedávno třeba Microsoft, který měl problém s úplně stejnou bezpečnostní zranitelností (SQL Injection – což je mimo jiného nejčastější zranitelnost webových aplikací hned po XSS).
Hlavu vzhůru, život jde dál, tuto nákazu zvládneme stejně jako všechny před ní a můžeme se zase věnovat našim e-shopům a zejména prodeji 🙂
Pokud máte e-shop zavirovaný a chcete ho odborně odvirovat, aby se nákaza nevrátila, můžete využít naši službu „Odvirování PrestaShopu„.
1 komentář. Nechte nové
Moc děkujeme panu Shaimovi za detailní informace a zejména osobitý a skvělý přístup kterým nastavuje level již mnoho let, jen tak dál 🙂