Prestashop vydal vyhlásenie o diere, ktorú môže využiť na ovládnutie eshopu. Chyba by sa mala týkať verzií Prestashopu od 1.6.0.10 po po 1.7.8.2.
Verziu prestashop vidíte vo verziách 1.6 a 1.7 vždy v ľavom hornom roku viď obrázok nižšie.
Kompletný článok o chybe nájdete na tomto linku – Maroj security volnerability on Prestashop eshops.
O čo v skratke ide:
Útočníci našli spôsob ako sa nabúrať do eshopu vyššie spomenutých verzií, kde pomocou zistenej diery vložia škodlivý kód do Vášho eshopu a umožní im to tak vykonávať rôzne operácie vo vašom mene a tom najhoršom prípade ukradnúť od vašich zákazníkov platobné údaje. Čiže útočníci sa podľa zistení Prestashop zamerali na rozposielanie rôznych falošných správ, kde najzávažnejšie sú také, že odošlú falošný formulár na zaplatenie vo vašom mene a zákazníci tak môžu zadať svoje platobné údaje do tohto falošného formulára a odoslať ich tak útočníkom. Ono je to aj o pozornosti zákazníkov, lebo ak máte platobnú bránu gopay, alebo webpay, alebo 24pay, tak útočníci nenapodobujú všetky platobné brány. Majú nejaký vlastný vzhľad a zákazník by mal byť aj sám opatrený zadávať platobné údaje mimo autorizované platobné brány. Ale samozrejme základ je v bezpečnosti Vášho eshopu.
Čo treba spraviť
Netreba prepadať panike a obchod vypínať alebo pod. to že máte verziu eshopu, ktorá spadá do daného intervalu neznamená že ste boli napadnutý, len to že ste na túto skutočnosť zraniteľný.
Ak ste trochu zdatný a ovládate základy ako sa dostať na FTP a ako si otvoriť PHP súbor v nejako textovom editore, tak nasledovnú zmenu zvládnete aj sami.
Útočníci povoľujú funkciu, ktoré sa používa veľmi zriedka a je ju tak možné úplne vyhodiť.
V oboch verziách, t.j. 1.6 aj v 1.7, musíte nájsť súbor „config/smarty.config.inc.php“ .
V tomto súbore treba vymazať nasledovné 3 riadky:
if (Configuration::get(‚PS_SMARTY_CACHING_TYPE‘) == ‚mysql‘) {
include _PS_CLASS_DIR_.’Smarty/SmartyCacheResourceMysql.php‘;
$smarty->caching_type = ‚mysql‘;
}
Vo verzií 1.7 sa tento kód nachádza v danom súbore v riadkoch 43-46 a vo verzií 1.6 v riadkoch 40-43.
V prípade, že takejto zmeny sami nie ste schopný, kľudne kontaktujte nás a my Vám danú „dieru“ odstránime. Len teda náš čas je platení.
Tak či onak, odporúčam túto zmenu vykonať čím skôr nakoľko vyčkávanie sa nemusí oplatiť.