Archivo de la etiqueta: bugs

Sobre la nueva alerta de seguridad de Magento y las malas prácticas

Alerta de seguridad de Magento

El martes a las 21:00 (UTC-3) llegaba otro aviso de seguridad de Magento (de la versión 1).

A diferencia de los anteriores, el problema no se encuentra en Magento en si, sino que se han encontrado vulnerabilidades en una serie de módulos y themes que, aparentemente, están muy extendidos.

En este punto, más allá de querer golpearse la cabeza contra la pared (ese mismo día, media hora antes del email, me tocó terminar de instalar absolutamente todos los parches para una versión 1.8.1.0 y al leer el email reconocí los módulos en cuestión porque eran los que estaban en esa tienda); lo que quizás deberíamos cuestionarnos es cómo se trabaja, habitualmente, con los módulos de terceros.

Sigue leyendo

Magento 1.9.2.4 (SUPEE-7405 V1.1)

Magento SUPEE-7405 v1.1

En las últimas horas de ayer se publicó la versión 1.9.2.4 de Magento, la cual incluye el parche (paquete de parches) SUPEE-7405 v1.1.

El detalle de cada parche provisto está documentado en la página de la nueva versión. Esos parches son:

  • SUPEE-7978: soluciona el problema de cantidades en el carrito cuando se mergeaba el mismo item.
  • SUPEE-7822: corrige problema de la API SOAP que podía generar un error 500.
  • SUPEE-7882: con la aplicación de este parche se dejaba PHP 5.3 como versión mínima y se requería de la versión 5.4. Esto ha sido revertido y nuevamente PHP 5.3 es la versión mínima con la cual corre Magento.
  • Corrección al problema del uploader de imágenes (problema que tantas preguntas ha generado en los foros)

Sigue leyendo

Magento 1.9.2.3 (SUPEE-7405 y SUPEE-7616)

Magento 1.9.2.3

Si, el 20 de enero tuvimos varias actualizaciones, en el mismo día, y que parecía eran todas menores ya que eran algunos parches nada más.

En la línea de Magento 1, llegamos a la versión 1.9.2.3. Para Magento 1, como venimos viendo, ya no habrán comunicaciones formales (en el blog) sobre los cambios. Para saber qué ha pasado deberemos acceder a los release notes.

Básicamente, la nueva versión implementa dos parches:

  • 7405: básicamente es un paquete de parches de los cuales podemos ver aquí los detalles.
  • 7616: correcciones para USPS.

La única gran sorpresa, y no por estar de acuerdo o no con ello, es que al aplicar este parche, el requerimiento mínimo de Magento 1 en cuando a PHP pasa de 5.3 a 5.4.

Sigue leyendo

Magento 1.9.2.2 (SUPEE-6788)

Anuncio del parche de seguridad SUPEE-6788 de Magento

El 20 de octubre se envió por mail el aviso de una nueva versión, tanto para la edición CE como la EE (la 1.9.2.2 y 1.14.2.2 respectivamente), que incluye el parche de seguridad SUPEE-6788.

Si bien el parche y la nueva versión se demoraron casi una semana (para permitir que la mayoría de los desarrolladores de extensiones pudieran validar y/o corregir los módulos), el 26 de octubre vieron la luz las dos versiones (y los parches para todas las versiones existentes).

Los detalles técnicos del nuevo parche/versión de Magento son bastante claros. Quizás, y supongo que por eso la demora en publicar el parche, los dos temás más críticos estuvieron están dados por los reportes APPSEC-1034 y APPSEC-1057.

Para el caso del APPSEC-1034, básicamente, puede deberse a mantener viejas malas prácticas. A esta altura, y luego del parche SUPEE-6285, sería válido considerar que los controllers ya se estaban definiendo como corresponde. (En defensa de los desarrolladores de módulos, infinidad de tiendas no mantienen actualizados los módulos, ya sean gratuitos o pagos).

Como si fuera poco, también surgió una vulnerabilidad en Zend Framework (que es corregida por el parche); aunque una de las recomendaciones oficiales es, dentro de lo posible, actualizar la versión.

Sigue leyendo