Magento 原廠針對企業版及社群版用戶發布重大安全性更新 - Astral Web 歐斯瑞有限公司

歐斯瑞官網全新上線！專業團隊持續為您服務！

電商顧問
專業認證電商顧問團隊
根據不同的商務需求，從重要的根基架構給予建議，靈活的技術支援也能隨需求進行客製開發；
我們的目標不僅是完成網站，更重視未來延展性，提供企業各階段最適宜的解決方案！
- 關於歐斯瑞
  - 工作機會
- 服務方案
Magento
世界知名品牌指定選用平台
Magento 以龐大且靈活的系統功能，面對不斷創新的消費者行為！
為企業需求提供客製開發可能，打造具差異化的品牌體驗，便於管理也有效增進客源。

我們的目標不僅是完成網站，更重視未來延展性，提供企業各階段最適宜的解決方案！
B2B商務
零售、批發自動化企業採購不煩惱
企業與企業間透過電子商務網站串聯上下游廠商，建立出完整的自動化交易流程，將有效減少雙方成本！大量訂購、議價功能、目錄權限管理…B2B 電商網站需求相對特殊，透過第三方系統整合、客製化開發，歐斯瑞將依照業態提供全面性的解決方案！
- 服務方案
  - B2B
  - B2E
  - B2B2C
- B2B快速上線
  - 2bEASY 解決方案
Shopify
速成建置專案為品牌省力
針對草創中的品牌，Shopify 是我們推薦的方案！多元的設計版型、提供外部系統串接，
短時間內便能完成銷售網站，直覺易懂的管理後台也替您節省學習成本。
- 服務方案
  - 關於Shopify
  - 關於Shopify plus
成功案例
產業新訊
立即諮詢

Magento 原廠針對企業版及社群版用戶發布重大安全性更新

受到許多跨國電商公司愛用的Magento在10月11日發布了重要的安全性更新訊息。

這次的更新編號為SUPEE-8788，旨在強化Magento企業版1.14.3以及社群版1.9.3之前版本的安全性以抵抗資料庫隱碼攻擊、cache poision等重大問題。

使用較舊Magento版本的電商網站可以安裝SUPEE-8788安全包或升級到企業版1.14.3以及社群版1.9.3。

如果您的公司是企業版的用戶，請參考這個網頁（https://magento.com/security/patches/supee-8788）的說明，到MY ACCOUNT → Downloads Tab → Magento Enterprise Edition 1.X → Magento Enterprise Edition 1.x → Support and Security Patches → Security Patches → Security Patches → October 2016 下載安全包安裝。

如果您是社群版1.9.x版本的使用者，您可以到這個位址 https://www.magentocommerce.com/download#download1934 下載安全包，對於更早版的的使用者，Magento 原廠表示會盡快提供1.5.x到1.8.x版的安全包安裝。

這次的修復項目中較重要的項目有：

APPSEC-1484 – Remote Code Execution in checkout

說明：某些付款方式有可能會在結帳流程中執行惡意的php程式碼。

影響版本：Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

APPSEC-1480 – SQL injection in Zend Framework

說明：入侵者有可能利用Zend Framework的弱點，對資料庫下惡意的SQL指令。

影響版本：Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

APPSEC-1488 – Stored XSS in invitations

說明：企業版的invitations功能有可能會被利用並放進惡意的Javascript。

影響版本：Magento EE prior to 1.14.3

APPSEC-1247 – Block cache exploit

說明：擁有管理者權限的使用者有機會利用CMS功能上的漏洞，刪除存在cache中的資料，這些資料可能包含商店組態、加密金鑰、以及資料庫連線的詳細資訊等敏感資料。

影響版本：Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

APPSEC-1517 – Log in as another customer

說明：在某些非常特殊的設定下，有心人可能有機會在僅知道會員email而不知道密碼的情況下就登入這個會員的帳號。

影響版本：Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

APPSEC-1375 – Remote Code Execution in admin

說明：後台現有的資料匯出匯入功能沒有確實檢查要被處理的資料，因此有管理員權限的惡意攻擊者有機會執行惡意程式碼。

影響版本：Magento CE prior to 1.9.3, and Magento EE prior to 1.14.3

完整的修復項目請到這個說明網頁https://magento.com/security/patches/supee-8788 查詢。Magento的電商經營者除了應該儘速安裝 security patch之外，也要注意保護好後台管理帳號密碼，以免給有心人可乘之機。

如果您有任何問題，歡迎您聯絡歐斯瑞！

電商快訊, 產業新知

我要留言取消回覆

WHY ASTRALWEB

讓歐斯瑞陪伴，安心開展電商渠道

具備官方認證的專業團隊，與您一起開創業績前線

架構規劃

不容忽略的建置根基，依需求通盤考量，打造安全穩定的網站

系統整合

ERP、POS、CRM...等系統串接，有效增進企業內部操作效率

功能客製

市面既有功能無法滿足需求？就交給歐斯瑞客製開發

資安保障

掌握最新網路安全訊息，即時提供應有配套措施

速度優化

優化網頁載入速度，讓客戶得到更佳體驗，增進黏著度

即時監控

不停休的監控服務，快速協助解決異常問題