Haken en ogen aan Magento patch SUPEE-7405

Deze patch is een bundel van fixes voor een aantal (vooral XSS gerelateerde) problemen. Er zijn twee punten in deze patch waar je goed rekening mee moet houden.

Op 20 januari heeft Magento patch SUPEE-7405 vrijgegeven. Deze patch is een bundel van fixes voor een aantal (vooral XSS gerelateerde) problemen. De fixes zijn vooral voortgekomen uit analyse van de code, er zijn nog geen concrete aantallen (exploits) voor bekend. Toch is het zaak om je magento altijd up-to-date te houden.

Er zijn twee punten in deze patch waar je goed rekening mee moet houden:

Niet compatible met php 5.3

De patch is niet compatible met php 5.3. Dit is gemakkelijk te verhelpen: het gaat om één regel code die je aan moet passen na het toepassen van deze patch.

Voor klanten die op een nieuwere versie van php draaien is dit natuurlijk niet van toepassing, de patch zal goed werken op php 5.4 en hoger.

Mocht je op php 5.3 draaien en een upgrade willen naar php 5.5 (dit levert bijvoorbeeld een snelheidswinst van tot 30% op!), neem dan contact op met onze servicedesk.

Strakkere beveiliging werkt niet met alle configuraties

Door deze patch-set zullen bestanden en directories standaard een strakkere beveiliging mee krijgen. Dit is een goede zaak en zal voor het merendeel van onze klanten geen enkel probleem opleveren. Klanten met grote multiserver setups moeten wel even opletten. Daar doen we over het algemeen een offloading van statische content naar nginx en deze draait onder andere permissies dan de rest van magento. Mogelijk dat nginx na toepassing van de patch geen afbeeldingen meer kan benaderen. Dit is eenvoudig voor ons op te lossen door nginx onder dezelfde permissies te gaan draaien als de site.