Magento新的ZEND FRAMEWORK安全漏洞

Magento新的ZEND FRAMEWORK安全性漏洞

Magento原廠近日發布了一個與Zend Framework 1和2的Email元件相關的安全性漏洞。包括Magento 1.x和Magento 2.x在內的許多PHP解決方案都使用了這個元件。如果您的伺服器使用Sendmail作為郵件傳輸代理的話，這個嚴重的漏洞可導致惡意的駭客使用遠端代碼執行攻擊。

要保護您的網站免受此漏洞的影響，您應該立即檢查郵件發送設定。請到您的Magento商店後台修改以下回復郵件地址的設定：

• Magento 1.x: System-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path
• Magento 2.x: Stores-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path

如果您的後台語言介面是中文的，您可以參考以下的路徑，但還是建議以英文為主以免造成誤解：

• Magento 1.x：系統- >配置- >高級- >系統- >郵件發送設置- >設置返回路徑
• Magento 2.x：商店- >配置- >高級- >系統- >郵件發送設置- >設置返回路徑

如果“Set Return-Path(設置返迴路徑)”設定為“Yes/是”且您的伺服器使用Sendmail功能，那麼您的商店就屬於暴露在此漏洞之下的網站。企業雲版客戶不需要擔心這個問題。Magento原廠已經檢查過您的配置沒有風險。

雖然還沒有觀察到有透過此漏洞進行的攻擊案件，但該漏洞還是有非常高的風險。我們強烈建議您在Magento原廠釋出安全性補丁之前，無論您有無使用郵件傳輸代理都應該將“Set Return-Path/設置返回路徑”設定關閉（切換到“No/否”）。Magento原廠目前正在努力提供補丁來關閉此一漏洞，補丁預計在幾個星期內被釋出。

檢查Magento 1跟 Magento 2網站是否存在Zend Framework漏洞

來源: https://magento.com/security/news/new-zend-framework-1-security-vulnerability