security-release

In seguito a un problema di sicurezza che è stato portato alla nostra attenzione, oggi renderemo disponibili per i nostri partner e utenti diverse opzioni per mettere in sicurezza i loro negozi.

  • Nuove versioni di PrestaShop 1.4.x e 1.5.x. La versione 1.6.1.0 è sicura.
  • File patch per le ultime versioni di ogni branch: 1.4.11.0, 1.5.6.2 e 1.6.0.14.
  • Il modulo Security Patch, che applica i file patch citati sopra in modo molto più intuitivo.
  • Cartelle zip dei file modificati per i branch 1.4, 1.5 e 1.6.

Ti consigliamo vivamente di effettuare l’upgrade del tuo negozio per passare alla versione più recente, appena aggiornata, del tuo branch attuale (1.5.6.3 e 1.4.11.1) o di applicare le correzioni fornite da PrestaShop (vedi i link sottostanti).

La versione 1.5.6.3 risolve inoltre altri 17 problemi: visualizza il changelog qui.
La versione 1.4.11.1 risolve inoltre altri 7 problemi: visualizza il changelog qui.

Ti preghiamo di leggere con attenzione tutto l’articolo. Grazie.

Quali sono le versioni interessate?

Il problema riscontrato in materia di sicurezza riguarda tutte le versioni di PrestaShop, a eccezione della versione 1.6.1.0 e di PrestaShop Cloud.

Pertanto, riguarda i branch 1.4.x, 1.5.x e 1.6.x fino a 1.6.0.14.

In breve, se non sei già passato a PrestaShop 1.6.1.0, è probabile che il tuo negozio sia vulnerabile a questa minaccia.

Il problema non riguarda temi e moduli, che dovrebbero funzionare normalmente una volta installata la correzione.

Come posso riparare il mio negozio/i negozi dei miei clienti?

Per chi non è ancora passato a PrestaShop 1.6.1.0, esistono diversi modi per risolvere il problema:

  • Per chi non possiede competenze tecniche, abbiamo creato il modulo Security Patch, il quale applicherà la correzione per le ultime versioni dei branch 1.4, 1.5 e 1.6. Ciò significa che il funzionamento è garantito per PrestaShop 1.4.11.0, 1.5.6.2 e 1.6.0.14.
    Il modulo funziona per tutti e tre i branch: non devi fare altro che installarlo e attivarlo, dopodiché applicherà il patch autonomamente!
  • Per chi possiede competenze tecniche, o per i casi in cui il modulo non è in grado di applicare il patch, è possibile ottenere un patch per le ultime versioni di ciascun branch (1.4, 1.5, 1.6) su GitHub (fai clic qui per ottenere i link).
    Così come il modulo, anche questi patch funzionano soltanto con la versione più recente di ciascun branch, ovvero 1.4.11.0, 1.5.6.2 e 1.6.0.14; le altre versioni non sono compatibili, o meglio, non lo sono se non fai le dovute modifiche.
    Se il tuo negozio non è aggiornato con l’ultimo branch (1.6), ti consigliamo vivamente di passare all’ultima versione del tuo branch prima di applicare il patch
    Se non puoi eseguire l’upgrade, sta a te adattare il file patch alla tua situazione specifica.
  • Puoi inoltre scaricare gli archivi dei file aggiornati per i branch 1.4, 1.5 e 1.6, contenenti solo i file che sono stati modificati dall’ultima versione di ciascun branch. Fai clic qui per ottenere i link.
    Se non hai apportato modifiche a questi file, puoi semplicemente sostituire i tuoi vecchi file con quelli nuovi.

Infine, abbiamo aggiornato i branch 1.5.x e 1.4.x. Da oggi, puoi scaricare PrestaShop 1.5.6.3 e 1.4.11.1 dalla pagina di download delle versioni precedenti.

Poiché la versione 1.6.1.0 contiene la correzione per il branch 1.6, non vi sarà una versione 1.6.0.15. Esegui l’upgrade!

Il modulo applica i patch a ciascuno dei branch, concepiti per funzionare sulle versioni più recenti: 1.6.0.14, 1.5.6.2, 1.4.11.0. Pertanto, potrebbe non funzionare per le versioni precedenti. Se ti trovi in questa situazione, leggi la nostra guida rapida per l’applicazione manuale del patch.

In ogni caso, ti suggeriamo ti tenere sempre aggiornato il tuo negozio con la versione più recente e più sicura di PrestaShop: nel migliore dei casi la versione 1.6.1.0 e, come minimo, l’ultima versione del branch 1.5 o 1.4.

Invitiamo chiunque abbia personalizzato in modo intensivo i file Core a prendere tutte le dovute precauzioni prima di installare il modulo, prima di unire i patch o prima di caricare i file modificati. Potrebbe essere necessario adattare il patch alla propria installazione specifica.

Ti preghiamo di notare che questo modulo non funziona in tutte le configurazioni dei server Windows e in alcune configurazioni limitate Linux. In tali casi, sta a te adattare il patch alla tua configurazione specifica. Consulta le istruzioni in questo file di testo.

Utilizzo una vecchia versione di PrestaShop: che cosa posso fare?

Il modulo è compatibile con le versioni più recenti dei branch 1.4, 1.5 e 1.6.0. Anche le versioni precedenti di questi branch dovrebbero essere compatibili, ma le più vecchie potrebbero presentare problemi.

Il modulo non è compatibile con PrestaShop 1.0, 1.1, 1.2 o 1.3.

Se hai una versione precedente di PrestaShop, ti consigliamo vivamente di aggiornare il tuo negozio. Dovresti essere almeno alla versione 1.4 di PrestaShop, dato che le versioni precedenti non saranno oggetto di ulteriori aggiornamenti: il branch 1.3, ad esempio, non viene aggiornato da marzo del 2011, più di quattro anni fa.

Siamo consapevoli del fatto che alcuni dei nostri utenti potrebbero essere bloccati su una vecchia versione. A tale proposito, abbiamo recentemente pubblicato un articolo in cui elenchiamo 4 modi semplici per mettere in sicurezza un negozio.

In breve, i 4 modi per mettere in sicurezza il tuo negozio sono:

  • Tenere aggiornato il tuo negozio e tutti i tuoi moduli con l’ultima versione.
  • Proteggere la tua cartella di back office con una password .htaccess.
  • Utilizzare una denominazione non comune per la tua cartella di back office (ovvero, una denominazione più originale di /admin1234).
  • Utilizzare password, o frasi di accesso, più complesse o addirittura personalizzate solo per il tuo negozio.

Leggi subito l’intero articolo!
Altri consigli semplici da seguire sono disponibili nella nostra pagina della documentazione “Rendere più sicura la tua installazione PrestaShop”.

Se vuoi davvero applicare la correzione al tuo negozio autonomamente, puoi provarci seguendo la nostra guida rapida per l’applicazione manuale del patch.

Di che problema si tratta?

Il problema riscontrato riguarda la casualità dell’algoritmo di generazione delle password. Questa falla potrebbe consentire a un hacker di accedere al back office di un negozio.

Un potenziale attacco è assai improbabile ma, in fatto di sicurezza, prevenire è sempre meglio che curare.

Come è stato scoperto e risolto il problema?

Il problema è stato scoperto dal consulente per la sicurezza Vincent Herbulot (@us3r777), che ci ha contattati direttamente all’indirizzo security@prestashop.com in seno al modello “divulgazione responsabile”. Grazie, Vincent!

Il problema è stato risolto dal nostro team dedicato alla sicurezza, con l’aiuto di Vincent. Il modulo è stato creato dai nostri sviluppatori Core.

Che cos’è la divulgazione responsabile?

La divulgazione responsabile (e privata) è una prassi standard adottata quando si riscontra un problema legato alla sicurezza: prima di renderlo pubblico, l’autore della scoperta ne informa il team Core, così che sia possibile preparare una correzione e ridurre al minimo il danno potenziale.

Il team PrestaShop cerca di essere molto proattivo nella prevenzione dei problemi legati alla sicurezza. Ciò nonostante, è possibile che emergano problemi critici senza alcun preavviso.

Proprio per questo, abbiamo istituito l’indirizzo e-mail security@prestashop.com: chiunque può contattarci privatamente con tutti i dettagli relativi a problemi che riguardano la sicurezza dei commercianti o dei clienti PrestaShop. Il nostro team dedicato alla sicurezza risponde alla segnalazione e valuta insieme al segnalatore la tempistica per la pubblicazione dei dettagli.

Comprendere un problema di sicurezza significa sapere in che modo l’hacker ha avuto accesso al sito. Se sei in possesso di tali dettagli, ti preghiamo di non pubblicarli e di contattarci privatamente. Se non sai come sia entrato l’hacker, ti preghiamo di chiedere assistenza sui forum di supporto.

Qual è la procedura di PrestaShop in caso di problemi di sicurezza?

Grazie alla nostra recente adozione di un programma di versioning del tipo SemVer e al continuo miglioramento del Modulo 1-Click, siamo certi che le prossime versioni dei patch di PrestaShop forniranno upgrade semplicissimi per tutti gli utenti. Le versioni dei patch offrono correzioni retroattive dei bug e dei problemi di sicurezza; le correzioni per la sicurezza vengono messe a disposizione non appena risolto il problema.

Grazie a un protocollo interno più forte per le versioni in materia di sicurezza, siamo sicuri che, qualora insorgessero altri problemi di sicurezza in PrestaShop, il nostro team sarà in grado di pubblicare correzioni molto più rapidamente e in modo da rendere l’upgrade molto più sicuro per tutti i negozi aggiornati.

PrestaShop continua a impegnarsi per tenere al sicuro il tuo negozio e i tuoi clienti, e tratta la sicurezza con la massima serietà. Ti ringraziamo per aver compreso il problema che ci riguarda attualmente e per l’aggiornamento tempestivo di tutti i negozi di cui sei responsabile!

 

Ricevi articoli come questo nella tua casella di posta!

Iscriviti per ricevere notizie e consigli sull’e-commerce direttamente nella tua casella di posta. Iscriviti

ShareTweet about this on TwitterShare on Google+1

Lascia un commento

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>