Actualiza tu Magento! Descubierta Vulnerabilidad en Zend

2 Comments

Magento está construido usando Zend, por lo que si Zend tiene un problema, las tiendas Magento tendrán ese mismo problema. Afortunadamente, Magento nos proporciona un parche que podemos aplicar en nuestra tienda para solucionarlo.

Si tu versión de Magento es igual o posterior a (community) 1.7.0.2 o (enterprise) 1.12.0.2 no tienes de qué preocuparte, ya tienes el parche instalado.

Más concretamente, el problema permite que cualquier atacante lea cualquier fichero del servidor cuando la funcionalidad XML RPC de Zend está activa. Esto puede incluir contraseñas y potencialmente acceso a la base de datos, si ésta se encuentra en el servidor. Si no tienes activa esta funcionalidad, podrías estar «tranquilo», aunque yo en tu lugar aplicaría el parche igualmente.

parche para la versión Enterprise

parche para la versión Community 1.4.0.0 – 1.4.1.1

parche para la versión Community 1.4.2.0

parche para la versión Comuunity 1.5.0.0 – 1.7.0.1

Si tienes problemas con el parche, puedes desactivar la funcionalidad RPC, para ello, edita el siguiente fichero de tu tienda: «/app/code/core/Mage/Api/controllers/XmlrpcController.php» y elimina o comenta el contenido del método indexAction. En el ejemplo, ya aparece comentado el código conflictivo.

[sourcecode language=»php» highlight=»3,4,5,6,7″]
public function indexAction()
{
/*
$this->_getServer()->init($this, ‘xmlrpc’)
->run();
}
*/
}
[/sourcecode]

Ten en cuenta que, al hacer esto, perderás el acceso XML RPC a la tienda.

Fuente: Important Security Update – Zend Platform Vulnerability

Suscríbete a nuestra newsletter