SUPEE-6788 güvenlik yamasından hangi modüllerin etkilendiğini kontrol etme


71

27 Ekim 2015'te Magento, SUPEE-6788 güvenlik yamasını yayınladı. Göre teknik detaylar , giderildi 4 APPSEC yerel ve toplum modüllerde bazı rework gerektirir:

  • APPSEC-1034, özel yönetici URL'sini atlayarak adresleme (varsayılan olarak devre dışı bırakılmıştır)
  • APPSEC-1063, olası SQL enjeksiyonunu ele alıyor
  • APPSEC-1057, şablon işleme yöntemi özel bilgilere erişim sağlar
  • APPSEC-1079, özel seçenek dosya tipi ile potansiyel istismarın ele alınması

Bu güvenlik düzeltme ekinden hangi modüllerin etkilendiğini nasıl kontrol edeceğimi merak ediyordum.

Aşağıdaki kısmi çözüm buldum:

  • APPSEC-1034: <use>admin</use>tüm yerel ve topluluk modüllerinin config.xml dosyasını arayın . Bunun, bu sorundan etkilenen tüm modülleri listelemesi gerektiğini düşünüyorum.
  • APPSEC-1063: aramak addFieldToFilter('(ve addFieldToFilter('`yerel ve toplum modüllerinin tüm PHP dosyalarında. Değişkenler de kullanılabildiğinden, bu eksiktir.
  • APPSEC-1057: yerel ve topluluk modüllerinin tüm PHP dosyalarını {{config path=ve {{block type=içindeki tüm dosyaları arayın ve beyaz listedeki tüm öğeleri filtreleyin. Ancak, yöneticiler tarafından eklenen herhangi bir şablon değişkeni içermediğinden bu eksiktir.
  • APPSEC-1079: hiçbir fikrim yok.

Peter Jaap Blaakmeer tarafından derlenen APPSEC-1034 ve APPSEC-1063 için savunmasız olan bir eklenti listesi de bulunmaktadır.


@PeterJaapBlaakmeer ile nasıl iletişim kuracağımı bilmiyorum ama listeye eklenmesi gereken bir uzantı var: admin url sorunu için FreeLunchLabs ConstantContact
David Wilkins

6
Bu çözümlerden bazılarını kim buldu? Birden bire blok tipi ve değişken beyaz liste olacak mı? Magento'yu yükseltmek her zaman bir acı olmuştur, ancak Magento'ya daha da acı çekmek için iyi bir iş olmuştur.
Agop

6
Heh, Magento, vermeye devam eden hediye. 1.9.2.1 uyumluluk için TÜM modülleri yükseltmeyi yeni bitirdim. Bet modülü geliştiricileri sadece sevinç için atlıyor ya da tepelerde çığlık atıyor.
Fiasco Labs

3
şu anda düzeltme eki gelecek hafta ertelendi - güvenlik düzeltme eki sürümünü gelecek hafta başlarına kadar ertele ve düzeltme ekini değiştirerek yönetici yönlendirme değişikliklerinin varsayılan olarak devre dışı bırakılmasını sağlayın. Bu, yamanın düzeltmeyi içereceği, ancak yüklendiğinde devre dışı bırakılacağı anlamına gelir. Yeni yayın tarihi ve düzeltme ekinde yapılan değişiklikler size kodunuzda güncelleme yapmak için biraz zaman kazandırır ve uzantıları ve özelleştirmeleri üzerinde çalışacakları güncelleme yapıldıktan sonra satıcıya düzeltme ekinin bu bölümünü açma esnekliği verir.
FireBear

Yanıtlar:


55

SUPEE-6788 piyasaya sürüldü ve yönetici yönlendirme değişiklikleri varsayılan olarak kapalı. Bu, yamanın düzeltmeyi içerdiği, ancak yüklendiğinde devre dışı bırakılacağı anlamına gelir. Bu, kodunuzda güncellemeler yapmanız için size biraz zaman kazandıracak ve uzantıları ve özelleştirmeleri onunla çalışacak şekilde güncellendikten sonra satıcıya düzeltme ekinin bu bölümünü açma esnekliği sağlayacaktır.

Yüklemeden sonra uzantıların yönetici yönlendirme özelliğini etkinleştirmek için, Yönetici -> Gelişmiş -> Yönetici -> Güvenlik bölümüne gidin.

Magento CE 1.4-1.6 yamaları ertelenir ve yaklaşık bir hafta içinde hazır bulundurulmalıdır!

SUPEE-6788 Kaynak listesi


Herhangi bir "düzeltmeyecek" modül için, genel olarak neyin değiştirilmesi gerektiğini belgeleyebilir miyiz, böylece bu modüllerin 6788 ile çalışacak şekilde el ile yamaları yapılabilir mi? Örneğin, "X'i tüm addFieldToFilteraramalardan kaldırın ."
Tyler V.

1
Yama serbest bırakıldı. Lütfen cevabınızı güncelleyin.
07:

@FireBear Geçmişte birçok kez Magento yamalarını uyguladım. Ama SUPEE-6788 hakkında bir şüphem var. Diğer yamalar gibi uygulamam gerekiyor mu ve daha sonra Magento yönetici panelinde yönetici yönlendirme özelliğini etkinleştirebilirim veya yükleme sırasında yalnızca dikkat etmem gerekiyor. Lütfen önerin.
Mukesh

2
@ Evet, başka yamalar olarak da kurabilirsiniz, ancak listeden bazı uzantılar kullanıyorsanız, kırılmış uzantılarla ilgili dikkatli olmanız gerekir - bunları el ile düzeltmeniz veya geliştiricilerin güncellemelerini beklemeniz gerekir, böylece etkinleştirebilirsiniz - Yönetici yönlendirme özelliği
Eklentiler

@FireBear community.magento.com/t5/Version-Upgrades/… (Özel modülde Önce ve Sonra) hakkında geribildirimde bulunabilir misiniz?
Mukesh

21

Çelişkileri tespit etme hakkındaki diğer yorumların yanı sıra, ParadoxLabs'ta APPSEC-1034 (yönetici kontrolörleri) ve APPSEC-1057'den (beyaz liste) etkilenen her şeyi izlemek için bir senaryo oluşturduk. Ayrıca, herhangi bir kötü denetleyiciyi düzeltmeye çalışacaktır, çünkü bu oldukça kesin ve istilacı bir değişiklik.

APPSEC-1063 (SQL enjeksiyon) veya APPSEC-1079 (özel seçenekler) kapsamaz, ancak eğer yapabilseydi harika olurdu. Bunları herhangi bir hassasiyetle nasıl tespit edeceğinden emin değilim. Katkılara açığız.

https://github.com/rhoerr/supee-6788-toolbox


3
Bu gerçekten yararlı görünüyor, iyi iş!
paj

fixWhitelists beyaz listeye blok ekler ancak değişkenler için de aynı şekilde görünmüyor - lütfen onaylar mısınız?
zigojacko

1
@zigojacko Her ikisini de kapsar.
Ryan Hoerr

Evet, bunu başararak çözdüm. Mükemmel iş, ParadoxLabs :) tarafından süper iş
zigojacko

ParadoxLabs Saygı. Bu araç büyük miktarda iş tasarrufu sağlıyor.
DarkCowboy

5

Bu php betiği, önerilen SUPEE-6788 yamasından etkilenen Magento kodunu belirlemede faydalı olabilir .

Bu, bu düzeltme eki için kusursuz bir güvenlik kontrolü değildir , ancak kurulumunuzu etkilenen modüller ve kod için hızlı bir şekilde taramak için yararlı olabilir.

Komut dosyasını ile yükle

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

Magento kurulumunuzun yolunu düzenleyin

$_magentoPath='/home/www/magento/';

Çalıştırmak

php magento_appsec_file_check.php

Etkilenen dosyalar gösterilecektir:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Komut dosyası, SUPEE-6788 uygulandığında özelleştirmeler veya uzantılarla geriye dönük uyumluluğunu muhtemelen bozabilecek kod oluşumları için Magento dosyalarını aramak için grep kullanır.


4

SUPEE-6788 ile bozulacak tüm uzantıların bulunduğu büyük bir liste zaten var

Burada daha fazla bilgi: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0


Bu listenin nasıl toplandığını bilmek gerçekten merak ediyorum.
mam08ixo 21:15

3
Kitle kaynaklıydı; Orijinal kaynak şudur: docs.google.com/spreadsheets/d/…
Herman Slatman 21:15

Lütfen listeyi yukarıdaki sayfadan kaldırın ve güncel tutulması gereken kaynağa bağlayın
Aad Mathijssen

1
Güncellenmiş sürümleri bilmeniz için herhangi bir kişi var mı? Orada zaten güncellenen en az 2-3 modül görüyorum.
15’te

-1

İçerik filtresi üzerinden işlenebilen izin verilen değişkenlerin listesi PDF'de gösterilenden daha büyük:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

( +PDF'de tanımlanmayan değişkenlerden önce bir ekledim )

İçerik filtresi aracılığıyla işlenebilecek izin verilen bloklar şunlardır:

core/template
catalog/product_new
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.