Heartbleed bug oplossen in Magento

De afgelopen paar dagen is de heartbleed bug een hot item in het nieuws. Maar wat is het nou precies, en beter nog; wat kun jij eraan doen om te voorkomen dat de gegevens van je Magento webshop niet op straat komen te liggen. Deze oplossing heeft alleen nut wanneer je webshop gebruik maakt van openssl. In dit artikel lees je hoe je jouw openssl installatie bijwerkt zodat je webserver weer veilig transacties kan uitvoeren.

De heartbleed bug is een kwetsbaarheid in het veel gebruikte openssl protocol. Hieronder zie je een quote van Wikipedia over openssl:

 

Magento heartbleed bug oplossen

Magento heartbleed bug oplossen

Website eigenaren met een eigen webserver gebruiken de openssl software om de eigen webwinkels en transacties veilig te encrypten. Ook al wordt openssl niet direct gebruikt in Magento, wordt het wel veel gebruikt op webservers waar Magento webshops op draaien. Als jij je Magento webwinkel juist hebt ingesteld is de kans groot dat je webwinkel de openssl bibliotheek gebruikt om transacties af te handelen op een bepaald punt in het afrekenproces.

 

De heartbleed bug maakt het erg gemakkelijk om gevoelige gegevens te stelen die beveiligd zijn door SSL/TLS encryptie. Normaliter gebruik je deze encryptie in je afrekenproces. Het klinkt allemaal heel eng maar gelukkig is de oplossing voor dit probleem simpel en snel door te voeren.

Inmiddels zullen de meeste hosting partijen de openssl bibliotheek bijgewerkt hebben waarmee zij de heartbleed bug voorkomen. Controleer met behulp van onderstaande links of jouw (Magento) webshop of zelfs je normale website blootstaat aan de heartbleed bug:

Ben je een developer dan kun je de code downloaden waarmee je de kwetsbaarheid kunt checken:

Oplossen van de heartbleed bug

Nu het allerbelangrijkste van dit artikel: het oplossen van de heartbleed bug! Het enige wat je hoeft te doen is je openssl bibliotheek bij te werken. Wanneer je niet voldoende rechten hebt (bijvoorbeeld op een shared hosting omgeving) vraag dan aan je hosting partij of deze actie inmiddels al is ondernomen. Beheer jij je eigen webserver? Voer dan onderstaande commando’s uit:

Voor red hat (centos) achtige distributies:

of wanneer je een ubuntu (achtige) distributie gebruikt:

Heb je wel ssh toegang tot je webserver maar beheer je deze niet zelf? Controleer dan de openssl versie met behulp van:

2014_04_09_openssl-check-version

Check de built on datum, als deze na 7 april 2014 is zit je goed. Afbeelding via inchoo.net.

Conclusie

Vergeet niet na het doorvoeren van deze wijziging alle diensten te herstarten die gebruik maken van openssl. Bijvoorbeeld: nginx, apache(2), webmin, directadmin enzovoorts. Het is een goed idee om alle gevoelige wachtwoorden waar je van verwacht dat deze blootgesteld zouden kunnen zijn bij te werken.

Als afsluiter staat hieronder een Vimeo filmpje met daarin uitleg over de heartbleed bug:

OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics from Elastica Inc on Vimeo.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *