Taloussanomat

Miljoonissa verkkokaupoissa vakava tietoturva-aukko: Kaupan voi kaapata koodinpätkällä

Kuva: © Reuters Photographer / Reuter

26.1.2016 11:47 Miljoonissa verkkokaupoissa käytettävästä ohjelmasta on löytynyt aukko, joka päästää hyökkääjän käsiksi asiakkaiden tietoihin.

Miljoonien verkkokauppojen käyttämästä Magento-ohjelmistosta on löytynyt kriittisiä tietoturva-aukkoja, kertoo muun muassa Ars Technica -verkkosivusto.

Hyökkääjä voi niiden ansiosta kaapata koko verkkokaupan hallintaansa syöttämällä sopivan JavaScript-koodinpätkän verkkosivustoilla olevalle lomakkeelle, joka on tarkoitettu uuden asiakkaan rekisteröitymiseen.

Käytännössä hyökkääjät voivat päästä hallitsemaan verkkokauppaa ylläpitäjän oikeuksin. Myös asiakkaiden kaikki tiedot ovat vaarassa.

Magento-verkkokauppa-alustan niin sanottu cross-site scripting eli XSS-aukko löytyy kaikista Magento Community Edition - ja Enterprise Edition -versioista, jotka ovat vanhempia kuin 1.9.2.3.- sekä 1.14.2.3.-versiot.

Tietoturvayhtiö Sucuri löysi aukon marraskuussa, ja kertoi siitä välittömästi Magentolle. Magento julkaisi aukot korjaavan päivityksen 20. tammikuuta. Haavoittuvuuden sisältäviä Magento-versioita käyttävien verkkokauppojen kannattaa päivittää ohjelmansa mahdollisimman pian.

Jutun kirjoitti: Perttu Pitkänen

Perttu Pitkänen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (10)

Sivut: 1
EdellinenSeuraava

Anonyymi
Mistähän johtuu etteivät ne open source -kehittäjien mainostamat "tuhannet silmäparit" taaskaan löytäneet vakavaa haavoittuvuutta yhtään sen paremmin kuin kaupallisesta ohjelmasta?

Missä ne "tuhannet silmäparit" oikein luuraa?
Anonyymi: TuhatJaYksiSilmää 26.1.2016 13:52

Anonyymi
On tuo aukko paikattu jo joten mikä on ongelma?
Anonyymi: heh-heh-hee 26.1.2016 14:39

Anonyymi
Mistähän johtuu etteivät ne open source -kehittäjien mainostamat "tuhannet silmäparit" taaskaan löytäneet vakavaa haavoittuvuutta yhtään sen paremmin kuin kaupallisesta ohjelmasta?

Missä ne "tuhannet silmäparit" oikein luuraa?
Nämä tuhannet teinisilmäparit jotka koodasivat Magenton alkutaipaletta eivät ymmärtäneet tämän tyyppisten ongelmien olemassaoloa. VAlitettavasti erilaisia PHP-kirjastoija käyttämällä tai väärinkäyttämällä lopputulos saadaan aikaan katastrofaalista lupputulosta...
Anonyymi: ölkhsdfg 26.1.2016 14:42

Anonyymi
Mistähän johtuu etteivät ne open source -kehittäjien mainostamat "tuhannet silmäparit" taaskaan löytäneet vakavaa haavoittuvuutta yhtään sen paremmin kuin kaupallisesta ohjelmasta?

Missä ne "tuhannet silmäparit" oikein luuraa?


Kun ei niitä kiinnosta tietoturva, eikä valitettavasti aina edes osaamista. Open sorsa on mitä on.
Anonyymi: OutoLintu 26.1.2016 19:00

Anonyymi
Mistähän johtuu etteivät ne open source -kehittäjien mainostamat "tuhannet silmäparit" taaskaan löytäneet vakavaa haavoittuvuutta yhtään sen paremmin kuin kaupallisesta ohjelmasta?

Missä ne "tuhannet silmäparit" oikein luuraa?

Kun ei niitä kiinnosta tietoturva, eikä valitettavasti aina edes osaamista. Open sorsa on mitä on.


Ja suljettu koodiko muka on tietoturvaan panostavaa? Hah, salli mun nauraa! :D
Anonyymi: trollille 26.1.2016 19:08

Anonyymi
Magenton juuri on aivan kamalan sekava, verkkokaupan tekeminen tuolla alustalla on tuskallista.
Anonyymi: magnetic 26.1.2016 22:18

Anonyymi
"Tietoturvayhtiö Sucuri löysi aukon marraskuussa, ja kertoi siitä välittömästi Magentolle. Magento julkaisi aukot korjaavan päivityksen 20. tammikuuta."

Miten voi kestää noin kauan korjata näin vakava aukko, kun tämän tyyppisen aukon korjaus on kaikenlisäksi erittäin helppoa
Anonyymi: fdgdg45 26.1.2016 22:26

Anonyymi
Mistähän johtuu etteivät ne open source -kehittäjien mainostamat "tuhannet silmäparit" taaskaan löytäneet vakavaa haavoittuvuutta yhtään sen paremmin kuin kaupallisesta ohjelmasta?

Missä ne "tuhannet silmäparit" oikein luuraa?


Nyt en kyllä tajua. Tuolla uutisessahan juuri sanotaan erään silmäparin löytäneen sen aukon ja ilmoittaneen heille.

Asia sitten erikseen, että tällä kertaa sattui löytämään hyvää ajatteleva silmäpari eikä joku itä-eurooppalainen hakkeri. (joo joo, hakkeri vs. krakkeri tiedän)
Anonyymi: opensourcen_ongelmat 27.1.2016 10:03

Anonyymi

Nyt en kyllä tajua. Tuolla uutisessahan juuri sanotaan erään silmäparin löytäneen sen aukon ja ilmoittaneen heille.

Asia sitten erikseen, että tällä kertaa sattui löytämään hyvää ajatteleva silmäpari eikä joku itä-eurooppalainen hakkeri. (joo joo, hakkeri vs. krakkeri tiedän)


Kyse onkin siitä, että aina väitetään näiden vikojen löytyvän heti ja nopeasti ja korjauskin on jo viime viikolla tehty jne. Nyt oli pitkään taas reikä, kukaan ei tiedä kauanko hyväksikäytetty, valmistajallakin meni pari kuukautta korjata jne.

Eli kyllä ihan oikeassa on ihmettelijä.

Tärkein asia on se, että kaikki OSS ei ole samanlaista. Kuinka montaa kiinnostaa jonkun lafkan kaupallinen tuote, vaikka kuinka olisi OSSää? Ei sitä noin vain lähdetä lukemaan sorsia huvikseen. Eri asia jos kyse on jostain isommasta.

Joten väite OSS:n paremmuudesta ei pidä paikkaansa. Eikä sitä voi kieltää selittämällä "mutta on suljetussakin bugeja!11" Se vain todistaa sen pointin: bugeja on kaikkialla. OSS:ssä myös. Ja kun sitä mainostetaan ilmaisena, turvallisena jne (aina, välittämättä tuotteesta) saadaan väki väärään turvallisuudentunteeseen. Ja sitten on soppa valmis.

Katsotaanpa kuukauden päästä montako reikäistä versiota on vielä ajossa. Näitä kun säätävät jaanapetterit eivät välttämättä ole enää ylläpitämässä parin viikon päästä eikä verkkokauppiaat tajua mitään ylläpidosta.
Anonyymi: Huohh 29.1.2016 9:17

Anonyymi
Mikäs se javascript koodi on bii aion haksata kaikki (en oikeeSti)
Anonyymi: Haxer 10.2.2016 14:22
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Piraattikauppias saatiin mottiin

29.07.2011 Brittioperaattori BT on määrätty oikeuden päätöksellä sulkemaan piraattikopioita myyvälle sivustolle johtavan linkin.


2013

Kolme vuotta sitten

Lumia 925 lähtee T-Mobilelta ilman käsirahaa

29.07.2013 Kilpailu kovenee Yhdysvaltain matkapuhelinmarkkinoilla. Lauantaista lähtien T-Mobilen uudet ja vanhat asiakkaat ovat voineet kävellä ulos kaupasta uuden Nokia Lumia 925:n tai Applen iPhone 5:n kanssa maksamatta senttiäkään.

.