[важно] критическая проблема безопасности (все версии шопа)

Привет всем!

спешу вам сообщить, что мы обнаружили критическую проблему безопасности во всех версиях и изданиях (community, professional & enterprise edition) Интернет-магазина OXID.

Пожалуйста, внимательно прочитайте это сообщение в блоге и проведите сразу все предложеные действия (если это еще не сделано):

Ситуация очень серьёзная. Мы ожидаем первых атак уже несколько часов после публикации исправлений в течении сегодняшнего дня.

Все вопросы мы можем обсуждать здесь после публикции обновлений.

Спасибо за понимание!

свободный перевод сообщея в блоге:

Сообщаем вам, что мы нашли критическуы проблему безопасности во всех версиях и изданиях шопа.

Проблема уже была исправлена и исправления для следующих версий будут опубликованы сегодня (13го июня):

  • Community + Professional Edition: 4.8.12 и 4.9.9
  • Enterprise Edition: 5.1.12 и 5.2.9

Обратите внимания, что патчей для версий до 4.8 не будет.

На данныя момент, вам надо применить две защитных меры:

  1. защетите панель администратора (папка admin/ на сервере) дополнительным паролем с помощью .htaccess:
    http://www.answerium.com/article21/

  2. создайте себе нового администратора и удалите старого:

    я это дело переводить не буду, просто зайдите в админ в service -> tools и скопируйте этот SQL код, замените “lalala” на что-нибудь другое, но тоже английское и в ковычках и жмите на “start update”.
    Этот SQL изменит oxId “oxdefaultadmin” вашэего администратора на случайный другой ID и перенесет все покупки, присвоенные группы и скидки на этот новый ID:

UPDATE oxaddress SET OXUSERID = MD5("lalala") WHERE OXUSERID = 'oxdefaultadmin';
UPDATE oxnewssubscribed SET OXUSERID = MD5("lalala") WHERE OXUSERID = 'oxdefaultadmin';
UPDATE oxobject2group SET OXOBJECTID = MD5("lalala") WHERE OXOBJECTID = 'oxdefaultadmin';
UPDATE oxobject2discount SET OXOBJECTID = MD5("lalala") WHERE OXOBJECTID = 'oxdefaultadmin';
UPDATE oxorder SET OXUSERID = MD5("lalala") WHERE OXUSERID = 'oxdefaultadmin';
UPDATE oxuser SET OXID = MD5("lalala") WHERE OXID = 'oxdefaultadmin';
UPDATE oxuserbaskets SET OXUSERID = MD5("lalala") WHERE OXUSERID = 'oxdefaultadmin';
UPDATE oxuserpayments SET OXUSERID = MD5("lalala") WHERE OXUSERID = 'oxdefaultadmin';

если что - пишите здесь. разберемся.