27 Ekim 2015'te Magento, SUPEE-6788 güvenlik yamasını yayınladı. Göre teknik detaylar , giderildi 4 APPSEC yerel ve toplum modüllerde bazı rework gerektirir:
- APPSEC-1034, özel yönetici URL'sini atlayarak adresleme (varsayılan olarak devre dışı bırakılmıştır)
- APPSEC-1063, olası SQL enjeksiyonunu ele alıyor
- APPSEC-1057, şablon işleme yöntemi özel bilgilere erişim sağlar
- APPSEC-1079, özel seçenek dosya tipi ile potansiyel istismarın ele alınması
Bu güvenlik düzeltme ekinden hangi modüllerin etkilendiğini nasıl kontrol edeceğimi merak ediyordum.
Aşağıdaki kısmi çözüm buldum:
- APPSEC-1034:
<use>admin</use>
tüm yerel ve topluluk modüllerinin config.xml dosyasını arayın . Bunun, bu sorundan etkilenen tüm modülleri listelemesi gerektiğini düşünüyorum. - APPSEC-1063: aramak
addFieldToFilter('(
veaddFieldToFilter('`
yerel ve toplum modüllerinin tüm PHP dosyalarında. Değişkenler de kullanılabildiğinden, bu eksiktir. - APPSEC-1057: yerel ve topluluk modüllerinin tüm PHP dosyalarını
{{config path=
ve{{block type=
içindeki tüm dosyaları arayın ve beyaz listedeki tüm öğeleri filtreleyin. Ancak, yöneticiler tarafından eklenen herhangi bir şablon değişkeni içermediğinden bu eksiktir. - APPSEC-1079: hiçbir fikrim yok.
Peter Jaap Blaakmeer tarafından derlenen APPSEC-1034 ve APPSEC-1063 için savunmasız olan bir eklenti listesi de bulunmaktadır.