חדשות מג'נטו

פירצת אבטחה RCE - Remote code execution מאפשרות לתוקף לבצע קוד שרירותי במכשיר מרוחק. תוקף יכול להשיג RCE בכמה דרכים שונות, כולל: התקפות הזרקת SQL, התקפות דה-סריאליזציה (שילוב מספר פיסות נתונים למחרוזת אחת כדי להקל על השידור או התקשורת. קלט משתמש בפורמט מיוחד בתוך הנתונים המסודרים עשוי להתפרש על ידי תוכנית הדה-סריאליזציה כקוד הפעלה) וכתיבה מחוץ לתחום: יישומים מקצים באופן קבוע נתחי זיכרון בגודל קבוע לאחסון נתונים, כולל נתונים שסופקו על ידי המשתמש. אם הקצאת זיכרון זו מבוצעת בצורה שגויה, ייתכן שתוקף יוכל לתכנן קלט שכותב מחוץ למאגר המוקצה ומכיוון שקוד ההפעלה מאוחסן גם בזיכרון, הנתונים שסופקו על ידי התוקף שנכתבו במקום הנכון עשויים להתבצע על ידי קוד המקור של מג'נטו.

 

למרבה המזל, פירצת האבטחה נמצאה על ידי צוות האבטחה הפנימי של מג'נטו לפני שניתן היה לזהות ניסיונות ניצול נרחבים של הפירצה. עם זאת, הם מדווחים שפירצת האבטחה כבר נוצלה במספר אתרי מג'נטו. לא נמסרו פרטים נוספים על ידי אדובי ופרטי פרצת האבטחה וחקירתה מסווגים כשמורים, על מנת למנוע ניצול על ידי גורמים זדוניים. זה אמור לאפשר לבעלי חנויות מג'נטו מספיק זמן לתקן את האתרים שלהם לפני פרסום פרטים נוספים. החל מה-17 בפברואר 2022 פרסמה אדובי תיקון נוסף עבור פירצת אבטחה זו, אותה יש להתקין על גבי עדכון האבטחה שסופק ב- 13 בפברואר.