최근 Magento는 지불 보안 시스템에 대한 악명 높은 공격으로 인해 뉴스에 나왔습니다. 최근 Magento 공격 사례에서 가장 중요한 신용 카드 정보를 훔치기 위해 Magento 매장의 결제 보안 시스템을 노리는 신용 카드 스크레이퍼가 목격되었습니다. 결과적으로 Magento는 시스템의 취약점을 경계하고 신중한 시도로 향후 공격에 대한 예방 조치로 보안 패치를 정기적으로 릴리스합니다.
가장 최근에 Magento는 Zend 프레임워크 1 및 2 이메일 구성요소의 치명적인 취약점을 해결하기 위해 코드명 "SUPEE 9652"라는 보안 패치를 출시했습니다. 이 취약점은 심각도가 상당히 높은 9.8점으로 심각한 것으로 간주됩니다.
SUPEE 9652 패치는 Enterprise Edition 1.9.00 – 1.14.3.1 및 Community Edition 1.5.0.11 – 1.9.3.1에서 사용할 수 있습니다. 주로 메일 취약점을 이용한 원격 코드 실행 문제를 해결합니다. 공격자는 취약점을 악용하여 Magento 시스템에서 악성 코드를 실행하여 사용자 권한을 압도합니다.
내가 취약한지 어떻게 알 수 있나요?
취약점이 심각한 것으로 간주되었지만 지금까지 영향을 받은 시스템은 거의 없습니다. 취약점의 영향을 받으려면 설치가 다음을 수행해야 하기 때문입니다.
- 메일 전송 옵션으로 Sendmail 선택 및 사용: 서버가 Sendmail을 메일 전송 에이전트로 사용하는 경우 Magento 사이트는 원격 코드 실행 공격에 취약합니다.
- 기본이 아닌 구성 설정 사용 :'복귀 경로 설정'을 '예'로 설정하면 Magento 매장이 공격에 매우 취약합니다.
나 자신을 어떻게 보호할 수 있습니까?
새로 출시된 Magento 보안 패치 SUPEE-9652가 구출됩니다. Magento가 새 패치를 출시하자마자 가능한 한 빨리 설치하는 것이 좋습니다. 또한 메일 전송 설정도 검토하는 것이 좋습니다. Magento 매장에서 보낸 이메일의 "답장" 주소를 제어하는 데 사용되는 시스템 설정으로 이동합니다.
- Magento 1의 경우: 시스템 -> 구성 -> 고급 -> 시스템 -> 메일 전송 설정 -> 반환 경로 설정 으로 이동합니다.
- Magento 2의 경우: Stores-> Configuration-> Advanced-> System-> Mail Sending Settings-> Set Return-Path 로 이동합니다.
위의 두 경우 모두 "Set Return-Path" 설정을 전환하십시오. "아니오".
Magento 저장소 보안을 보장하려면 Magento에서 릴리스되는 모든 패치가 릴리스되는 즉시 설치하십시오. 예방 조치 시행이 지연되면 공격자가 취약점을 인지하는 즉시 공격자가 취약점을 악용할 수 있습니다. 매장에 대한 정기적인 기술 및 보안 감사를 통해 Magento 매장을 장기간 보호하고 최신 보안 패치로 업데이트할 수 있습니다.