Adobe,Mastercard,Visa 警告 Magento 1.x EOL 的在线商店所有者

专栏 - 事件 发布于 2020-06-28 12:05:47 阅读 75 评论 0

仍有近110,000个在线商店仍在运行即将淘汰的Magento 1.x CMS。

Visa和Mastercard付款处理商以及Adobe在本月尝试了最后的努力,以吸引在线商店所有者更新其平台。
在6月30日的三天内,Magento 1.x平台将达到其正式的寿命终止(EOL)日期,此后Adobe计划停止提供安全更新。
尚未更新到最新的2.x分支但仍在运行Magento 1.x安装的商店将非常容易受到黑客的攻击。
这种攻击的危险性很高,因为在过去三年里,黑客一直在大量利用Magento漏洞入侵商店,并在付款表单中插入盗窃银行卡的代码,这种攻击形式被称为“网页浏览”(web skimming)或Magecart。

MASTERCARD 和 VISA 涉及其中

本周早些时候,支付处理机构万事达卡就此事向其客户发出了安全警报。
该公司表示,其负责调查影响持卡人数据的安全漏洞的万事达账户数据泄露(ADC)小组发现,网络抓取事件近年来不断增加。其中大多数都可以追溯到运行旧版Magento网络商店软件的网站。
MASTERCARD表示,在这些事件中接受调查的公司中,有77%没有遵守PCI DSS要求6,该规则要求商店所有者运行最新的系统。
不过,尽管MASTERCARD对客户采取了较为温和的态度,但Visa的警告却非常直言不讳,明确表示,如果商家未能从Magento 1更新产品。他们最终会不符合PCI DSS标准。
对于在线商店或任何其他管理在线卡支付的公司来说,失去PCI DSS认证是一场灾难,因为它们可能对自己给客户造成的损害负有直接责任。

ADOBE两次延迟MAGENTO 1.X停产

但是,并不是只有两个付款处理商一直在警告客户有关Magento 1.x EOL的信息。现在拥有Magento软件和用于托管Magento商店的云服务器的公司Adobe也是如此。
Adobe于2018年5月收购了Magento,对Magento 1.x商店的老板非常友善和宽容。

1.x分支于2008年发布,最初计划于2018年11月到达EOL。

三年前,即2015年,Magento团队发布了2.0版本,这是急需的更新,它是对先前过时的1.x版本进行的完全重写和体系结构重新设计。
不幸的是,Magento商店所有者社区没有张开双臂迎接新的2.x版本。由于两个版本之间存在大量重大更改,因此许多商店所有者选择保留较旧的1.x版本,避免重新实现他们的存储,避免长时间的停机时间——这是webdev社区中非常常见的做法。
Adobe收购了旧的Magento团队后,商店老板要求公司推迟1.x分支的EOL,这是Adobe同意的,将正式EOL推迟到2020年6月1日。
今年早些时候,当冠状病毒(COVID-19)大流行袭来时,Adobe公司再次推迟了Magento 1.x EOL。将其从6月1日改为6月30日,这样可以给店主更多的时间来处理最后一分钟的中断,并适应在家办公的日程安排。

就是这样;最后的EOL后推。

6月22日,Adobe发布了Magento 1的最终安全更新。他说这将是最后一次,并要求店主更新到Magento 2.x。

近11万家商店仍在运行Magento 1.x。

但是,遗憾的是,尽管店主们从2018年底就知道EOL即将到来,但许多人并没有采取行动。现在大约75%的Magento商店仍在1.x分支上运营。

据网络安全公司SanSec称,仍有近110,000家商店仍在运行1.x分支,而只有37,500家商店正在运行较新的分支。

一旦下周三1.x到达停产期,任何新的Magento 1.x漏洞利用都将对在线商店市场造成灾难,因为不会有补丁发布。

在与Web安全社区的专家进行对话时,记者获悉,一段时间以来尚未发现新的Magento 1.x漏洞。许多人认为,黑客正坐在Magento 1.x漏洞上,并等待EOL到来。

随着web skimming攻击越来越普遍,防火墙只是一个临时的解决方案,商店所有者很可能需要认真考虑更新他们的网站,尽管这涉及到临时的中断和停机。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!