Magento 1.9.2.2 (SUPEE-6788)

Anuncio del parche de seguridad SUPEE-6788 de Magento

El 20 de octubre se envió por mail el aviso de una nueva versión, tanto para la edición CE como la EE (la 1.9.2.2 y 1.14.2.2 respectivamente), que incluye el parche de seguridad SUPEE-6788.

Si bien el parche y la nueva versión se demoraron casi una semana (para permitir que la mayoría de los desarrolladores de extensiones pudieran validar y/o corregir los módulos), el 26 de octubre vieron la luz las dos versiones (y los parches para todas las versiones existentes).

Los detalles técnicos del nuevo parche/versión de Magento son bastante claros. Quizás, y supongo que por eso la demora en publicar el parche, los dos temás más críticos estuvieron están dados por los reportes APPSEC-1034 y APPSEC-1057.

Para el caso del APPSEC-1034, básicamente, puede deberse a mantener viejas malas prácticas. A esta altura, y luego del parche SUPEE-6285, sería válido considerar que los controllers ya se estaban definiendo como corresponde. (En defensa de los desarrolladores de módulos, infinidad de tiendas no mantienen actualizados los módulos, ya sean gratuitos o pagos).

Como si fuera poco, también surgió una vulnerabilidad en Zend Framework (que es corregida por el parche); aunque una de las recomendaciones oficiales es, dentro de lo posible, actualizar la versión.

En lo muy particular, hoy me ha tocado hacer un upgrade de un proyecto en desarrollo de 1.9.2.1 a 1.9.2.2. Por suerte, todo ha funcionado y no ha sido necesario modificar absolutamente nada del código.

Como de costumbre, con cada nuevo parche me pongo a revisar tiendas y llama poderosamente la atención la cantidad que aún son vulnerables.

Desde un punto de vista comercial, todos sabemos que es necesario coordinar con el cliente cómo usar las horas contratadas y, cuando se trata de parches de seguridad, el cliente no suele darle la prioridad que debe.

Ya que este nuevo upgrade puede llevar a la necesidad de actualizar o modificar módulos (trabajo que será directamente proporcional a la cantidad de extensiones instaladas y a la calidad del theme usado), es necesario hacer entender las consecuencias negativas de dejar pasar este tema.

Casi como anécdota, hoy me comentaron sobre algunos casos en los cuales las tiendas fueron atacadas y, gracias a ese ataque, les encriptaron todo el código (y sólo a cambio de un pago ofrecían restituir la situación).

Está claro que aplicar parches no es la tarea más divertida, pero peor aún es perder el control de la misma.

Unite a la lista de suscriptores

Una vez por mes vas a recibir un mail con contenido que se relaciona con lo que vemos en el blog, que extiende o anticipa lo que hacemos en Twitch, y que también suele incluir anécdotas del MundoReal® y algún que otro link.

Es gratis, no tiene publicidad y con el double opt-in de Mailchimp.