Sono state individuate 3 vulnerabilità in Zen Cart V1.5.4.
Probabilmente sono soggette alle medesime vulnerabilità anche le versioni precedenti.
Le vulnerabilità sono state segnalate da Tim Coen di curesec.com e prima della pubblicazione sono state valutate e risolte ove ritenuto necessario dal team di Zen Cart
Ecco le tre vulnerabilità:
Spiegazione per chi erroneamente ci contatta – facendoci perdere tempo – per segnalare ordini inevasi / errati o qualsiasi altra cosa gli possa essere capitata in acquisti online; oppure crede possiamo essere coinvolti nel suo problema solo perché è stata ricevuta dal negozio online una mail con sotto riportata la scritta:
Noi di Zen Cart Italia siamo distributori del software utilizzato per il sistema e-commerce di uno (di migliaia di) negozio online a noi sconosciuto perché il nostro software o anche la sola parte in italiano è dal 2004 in download gratuito (ed anonimo) semplicemente premendo il tasto posto al fondo delle pagine del sito. Ed è perciò utilizzato da migliaia di negozianti in e nel mondo. Ma per meglio dire, dal 31 agosto 2006, nel sito madre del progetto USA (vedi qui) anche la sola parte in italiano (da aggiungere ad un qualsiasi store realizzato in qualsiasi parte del mondo) è a disposizione di chiunque in libero download. Motivo per cui:
essere a conoscenza di chi lo ha scaricato, di quando lo scaricato e dove o come lo utilizza!
ATTENZIONE: chi ritiene di essere stato oggetto di frode si deve rivolgere alle autorità competenti con tutta la documentazione in suo possesso, cioè copia delle mail ricevute e stampa estratto conto c/c con evidenziato l’importo relativo all’acquisto .
[alert style=”warning”]Aggiornamento marzo 2018[/alert]
OTTOBRE 2014 – Una nuova falla di sicurezza è stata scoperta in un protocollo di base utilizzato per la crittografia del traffico in Rete.
La minaccia è stata chiamata Poodle (ossia barboncino), che letteralmente sta per Padding Oracle On Downgraded Legacy Encryption, ed è descritta in un documento pubblicato da Bodo Moller, Thai Duong e Krzysztof Kotowicz, tre ricercatori che si occupano di sicurezza informatica per conto di Google. Poodle riguarda il protocollo SSLv3, ossia la versione 3.0 (vecchia di 15 anni) del Secure sockets layer (Ssl), utilizzato per cifrare il traffico tra un browser e un sito web oppure tra client e server di posta elettronica.
Amministratori / Webmaster Zen Cart devono seguire le istruzioni di questa patch di sicurezza.
L’attività progettata e gestita da OPZIONE.COM – maintainer dal 2004 della distribuzione ufficiale di Zen Cart Italia – è un processo completo e sicuro che inizia con un’installazione parallela o su server dedicato se non è possibile con il PHP del server della vecchia versione, del nuovo Zen Cart e dopo le opportune verifiche via al processo di aggiornamento con il popolamento dei dati di clienti, ordini, categorie, prodotti, varianti programmazione e quindi spedizione / pagamenti / buoni sconto / certificati regalo ed immagini dal vecchio store, con aggiornamento delle modifiche o moduli e quanto presente così da riportarne fedelmente copia non solo per design / contenuti ma anche per tutte le funzionalità e personalizzazioni. Ma non solo.
Sarà contestualmente possibile aggiornare e migliorare design e funzionalità e tanto altro ancora e solo quando tutto verificato i due store (vecchio e nuovo) saranno scambiati fra loro. Non c’è materialmente possibilità di perdite dati.
È un processo professionale, sicuro e garantito effettuato da un’azienda leader del settore.
Ieri ho scoperto che il 29 novembre scorso (2013) è mancato Conor Kerr, sviluppatore di CEON Uri Mapping.
Aveva 34 anni, un tumore al cervello.
Al di fuori dell’ambiente di Zen Cart non era probabilmente conosciuto, ma io lo considero come il miglior esempio di sviluppatore di codice open. Il suo codice l’ho sempre definito come il miglior pezzo di codice su cui mi sia mai capitato di lavorare. Non solo, era sempre disponibile a rispondere a richieste o suggerimenti sul suo lavoro e addirittura discuteva con semplicità e senza timori dei suoi casini e riusciva anche ad interessarsi di quelli degli altri, di sicuro inferiori rispetto ai suoi.
Io avrò scambiato qualche decina di mail con lui negli ultimi tre anni, l’ultima solo due settimane prima della sua scomparsa e diceva che era stato un anno terribile ma che contava di riprendersi per Natale.
Anche se poco conosciuto, volevo testimoniare che il mondo open ha perso un eccellente sviluppatore e una grande persona.
RIP Conor
– Paolo De Dionigi
Abbiamo rilasciato una nuova patch per correggere la vulnerabilità XSS segnalata da Secunia con avviso SA50574. Tale vulnerabilità era relativa al login di admin.
La patch consiste in una semplice modifica di una riga in un file e si applica sia alla versione 1.5.0 sia alla versione 1.5.1
Potete trovare la patch come commit su github:
Le versioni disponibili su github sono pertanto comprensive della patch, mentre le versioni disponibili su sourceforge rimangono prive.
Questo descrive come sarà il nostro approccio da ora in poi in merito alle release delle varie versioni e patch.