• Recherche pour :
    19Juin, 2024
    L’attaque CosmicSting menace 75 % des Adobe Commerce stores

    Une semaine après la publication d’un correctif de sécurité critique, seulement un quart de tous les magasins Adobe Commerce et Magento ont été patchés.

    CosmicSting (alias CVE-2024-34102) est le pire bug à affecter les magasins Magento et Adobe Commerce depuis deux ans. En soi, il permet à quiconque de lire des fichiers privés (tels que ceux contenant des mots de passe). Cependant, combiné avec le bug iconv récent dans Linux, il se transforme en un cauchemar de sécurité permettant l’exécution de code à distance. Ce bug critique donne un contrôle total aux adversaires et l’attaque peut être automatisée, ce qui pourrait entraîner des piratages massifs à l’échelle mondiale.

    CVE2024-34102
    Typeunauthorized XXE, RCE together with CVE-2024-2961
    SeverityCVSS 9.8
    Automatableno interaction needed
    Exploitverified by Sansec, not public yet
    Creditsdiscoverd by spacewasp

    « It’s a bad one »

    Son score de sévérité record de 9,8 sur le Common Vulnerability Scoring System (CVSS), une échelle de 10 points, a conduit à cette déclaration d’Adobe :

    « C’est un mauvais bug et vous devriez appliquer le correctif. Il est probable que ce ne soit qu’une question de temps avant que quelqu’un ne publie une analyse et des étapes de reproduction. »

    Adobe a publié un correctif pour les attaques CosmicSting la semaine dernière. Bien qu’Adobe n’ait naturellement pas partagé les détails de l’attaque, Sansec a pu reproduire l’attaque à partir du code du correctif. Nous pensons que les acteurs malveillants travaillent déjà sur la même chose.

    Pour contexte : des problèmes de sécurité aussi critiques ne sont survenus que trois fois auparavant dans l’histoire de Magento :

    • 2015 : attaque Shoplift
    • 2019 : attaque Ambionics
    • 2022 : attaque Trojan Order

    À chacune de ces occasions, des dizaines de milliers de magasins ont été piratés, parfois en quelques heures. Il est donc vital de mettre à jour vos magasins dès que possible.

    Préoccupations concernant la mise à niveau

    Sansec, qui surveille les plates-formes de commerce électronique mondiales, a découvert que seulement 25 % des magasins ont été mis à niveau depuis la publication de la mise à jour de sécurité la semaine dernière. Un facteur compliquant est que la mise à jour de sécurité peut perturber la fonctionnalité de paiement existante. Adobe a rétroporté l’implémentation CSP/SRI imposée par le PCI de la version 2.4.7. Cela risque de perturber les scripts Javascript tiers et les scripts en ligne dans votre processus de paiement. Sansec recommande de passer en mode ‘Report-Only’ avant la mise à niveau. De cette façon, votre processus de paiement continuera de fonctionner, et vous disposerez d’un temps suffisant pour enquêter sur les modules incompatibles avant que les nouvelles exigences PCI ne prennent effet en avril 2025.

    Il est également recommandé d’activer la surveillance CSP. Sansec propose un service de surveillance CSP gratuit que vous pouvez configurer en quelques minutes.

    Emergency fix

    Si vous ne pouvez en aucun cas effectuer la mise à niveau dans les prochains jours, il existe deux mesures d’urgence que vous pourriez mettre en œuvre dès aujourd’hui.

    Tout d’abord, assurez-vous que les versions de vos serveurs Linux sont à jour (testez ici), ce qui atténuera certains (mais pas tous) des risques.

    Deuxièmement, voici un correctif d’urgence que vous pouvez ajouter en haut de app/bootstrap.php. Il bloquera la majorité des attaques CosmicSting. Veuillez noter que nous fournissons ce correctif sans garantie.

    if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
    header('HTTP/1.1 503 Service Temporarily Unavailable');
    header('Status: 503 Service Temporarily Unavailable');
    exit;
}

    13Juin, 2024
    Optimisez votre Développement Magento 2 avec Xdebug

    Dans le monde du développement web, la qualité du code et la rapidité de débogage sont essentielles. Magento 2, étant une plateforme e-commerce puissante et complexe, nécessite des outils robustes pour assurer un développement fluide et efficace. L’un de ces outils incontournables est Xdebug. Dans cet article, nous explorerons comment Xdebug peut améliorer votre expérience de développement avec Magento 2.

    Qu’est-ce que Xdebug ?

    Xdebug est une extension PHP qui facilite le débogage et le profilage du code. Il permet aux développeurs de suivre l’exécution du code en temps réel, d’analyser les erreurs et les performances, et de comprendre le flux d’application de manière plus approfondie. Avec Xdebug, vous pouvez facilement identifier les bogues et optimiser votre code pour des performances accrues.

    Pourquoi Utiliser Xdebug avec Magento 2 ?

    1. Débogage Avancé : Magento 2 est une plateforme riche en fonctionnalités avec un code complexe. Xdebug vous permet de poser des points d’arrêt, d’inspecter les variables, de suivre l’exécution du code et de comprendre le comportement de votre application.
    2. Profilage des Performances : Avec Xdebug, vous pouvez profiler votre application Magento 2 pour identifier les goulets d’étranglement et optimiser les performances. Il génère des rapports détaillés sur le temps d’exécution des scripts et l’utilisation de la mémoire.
    3. Traçage du Code : Xdebug offre des fonctionnalités de traçage qui vous aident à suivre l’exécution de chaque ligne de code. Cela est particulièrement utile pour analyser les chemins critiques dans votre application et comprendre le flux logique.

    Configuration de Xdebug avec Magento 2

    Installation de Xdebug

    Pour installer Xdebug, vous pouvez utiliser PECL (PHP Extension Community Library) ou l’installer directement à partir des sources. Voici comment l’installer via PECL :

    pecl install xdebug

    Une fois installé, vous devez configurer le fichier php.ini pour activer Xdebug. Ajoutez les lignes suivantes à votre fichier php.ini :

    zend_extension=xdebug.so

    xdebug.remote_enable=1

    xdebug.remote_host=127.0.0.1

    xdebug.remote_port=9000

    xdebug.remote_handler=dbgp xdebug.remote_mode=req

    xdebug.idekey=PHPSTORM

    Intégration avec un IDE

    Pour tirer le meilleur parti de Xdebug, il est recommandé de l’intégrer avec un IDE comme PhpStorm. Voici les étapes pour configurer PhpStorm avec Xdebug :

    1. Configurer Xdebug dans PhpStorm : Allez dans File > Settings > Languages & Frameworks > PHP > Debug et configurez Xdebug en définissant le port à 9000.
    2. Configurer le Serveur : Allez dans File > Settings > Languages & Frameworks > PHP > Servers et ajoutez un nouveau serveur avec les détails de votre projet Magento 2.
    3. Définir les Points d’Arrêt : Ouvrez votre projet Magento 2 dans PhpStorm et définissez des points d’arrêt dans le code où vous souhaitez commencer le débogage.
    4. Démarrer une Session de Débogage : Cliquez sur l’icône de débogage dans PhpStorm pour démarrer une session de débogage. Votre application s’arrêtera aux points d’arrêt définis, vous permettant d’inspecter les variables et de suivre le flux d’exécution.

    Conclusion

    Xdebug est un outil puissant qui peut grandement améliorer votre processus de développement Magento 2. En offrant des capacités avancées de débogage et de profilage, il vous permet de repérer rapidement les problèmes et d’optimiser les performances de votre boutique en ligne. En intégrant Xdebug avec votre IDE préféré, comme PhpStorm, vous pouvez maximiser son efficacité et rendre votre développement plus efficace et agréable.

    Que vous soyez un développeur débutant ou expérimenté, maîtriser Xdebug et l’utiliser avec Magento 2 est un investissement précieux dans votre carrière de développeur e-commerce. N’attendez plus, configurez Xdebug dès aujourd’hui et découvrez à quel point il peut transformer votre workflow de développement.

    Maîtriser le Débogage avec Xdebug