Kısacası, evet. CE 1.7, bu özel saldırılara karşı hala savunmasızdır, çünkü düzeltme eki içeren bir güvenlik sürümü yayınlanmamıştır.
Sonuncusu olan bir oturum tespit saldırısı durumunda, değişiklik Magento'nun şimdiki güvenlik en iyi uygulamalarına uymak için önceden kullandığı güvenlik uygulamalarındaki bir yükseltmedir. CSRF düzeltmeleriyle ilgili bir düzeltme eki yayınlarlarsa CE 1.7'ye verilmesi muhtemel bir şey değildir.
Asıl soru, düzeltilen bu CSRF açıklarının tam olarak neydi? Kuşkusuz, sürüm notlarına spesifikasyonlar eklemedikleri iyi bir şeydir, böylece önceki tüm sürümleri daha da tehlikeye sokarlar, ancak eski uygulamaları yamalamak için bilmek güzel olurdu.
GÜNCELLEME # 1:
Yukarıdaki güvenlik açıkları için ne zaman yama yayınlayacaklarını öğrenmek için Magento'ya ulaştıktan sonra, aşağıdaki yanıtı aldım:
Bunu biraz daha araştırmama izin verin. Sistemimizde hata olarak değil, ürün geliştirmeleri olarak listelendikleri için, bu iki öğe için kullanılabilir yamalar olup olmadığından emin değilim. Daha fazla bilgi aldığımda sizi güncelleyeceğim.
Onları alırken daha fazla ayrıntıyı buraya göndereceğim ve şu anda var olan herhangi bir yama olmadığı anlaşılan yamaları yayınlamak için elimden geleni yapacağım.
GÜNCELLEME # 2: Destek ekibiyle ileri geri hareket ettikten sonra Magento EE 1.12.0.2 için uygun bir yama elde edebildim. Magento CE 1.7.0.2 için bir yama yayınlanmadı ve benim için dahili olarak bakan teknisyenin bildiği kadarıyla, CE 1.7.x için resmi bir yama yayınlamanın herhangi bir sorunu yoktur, bunun yerine sorunları sadece yaklaşan CE 1.8'de çözmek kararlı salım.
EE'ye özgü yama dosyasına gelince, doğrudan buraya gönderemiyorum (veya yama uygulama aracını) çünkü şüphesiz Magento ile kendim ve çalıştığım şirket arasındaki NDA'yı ihlal edecekti. İlgili düzeltme ekinin adı: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - Enterprise Edition veya bunu kullanan bir istemciniz varsa, bu düzeltme ekini Magento destek ekibinden, düzeltmesi gereken CSRF güvenlik açıkları.
CE 1.7.0.2 kullanıcıları için, yalnızca Magento CE 1.7.0.2 çekirdek kod dosyalarını değiştiren kod parçalarını içeren bir yama dosyası (Magento tarafından sağlanan yamaya dayalı) oluşturma özgürlüğünü aldım. Normal şekilde, ilgili kod değişiklikleriyle birlikte eklenen yorumların alakasız bitlerini ve ayarlanmış biçimlendirmeyi içerir. Bunu oluşturmak için, sağlanan yamayı uygulama aracını kullanarak orijinal yamayı uygulamak, sonra da uygulanan değişikliklere dayalı bir yama oluşturmak için git'i kullanmak gerekir.
Oluşturduğum yama dosyası şu özden indirilebilir: https://gist.github.com/davidalger/5938568
Düzeltme ekini uygulamak için önce Magento kurulumunuzun kök dizinine cd yapın ve aşağıdaki komutu çalıştırın: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE'ye özgü düzeltme eki, kuruluşa özgü denetleyicilere form anahtarı doğrulama denetimleri, yama / denetleyici eylemleri için kullanılan formlara form anahtarları dahil etmek için kurumsal / varsayılan ve kurumsal / iphone şablon dosyalarında değişiklikler ve düzgün bir şekilde hesaplamak için ek Tam Sayfa Önbellek işlevi form anahtarlarını önbelleğe alınmış sayfalarda ileri geri aktarma.
YASAL UYARI: Ne Magento tarafından sağlanan EE ya da bağlı gist yüklediğim yama TEST ETMEM. Referans verilen özette sağlanan yama GARANTİ VERİLMEMEKTEDİR ve CE 1.8 sürüm notlarında belirtilen güvenlik açıklarını tam olarak çözebilir veya çözemeyebilir. Test edilmemiş bir yama olarak, kısmen veya tamamen işlev gördüğünün garantisi yoktur. Kendi sorumluluğunuzdadır kullanın ve bir üretim ortamına konuşlandırmadan önce test etmek için gereken özeni gösterin. Yama ile ilgili sorunlar bulursanız, bana bildirin, güncelleyeceğim.