Tóm lại, vâng. CE 1.7 vẫn dễ bị tấn công bởi các cuộc tấn công cụ thể này vì không có bản phát hành bảo mật nào được phát hành có chứa bản vá.
Trong trường hợp sau, một cuộc tấn công sửa lỗi phiên, thay đổi là một bản nâng cấp trong các thực tiễn bảo mật mà Magento đã sử dụng để phù hợp với các thực tiễn tốt nhất về bảo mật hiện tại. Không phải thứ gì đó có khả năng được cấp cho CE 1.7 nếu chúng phát hành bản vá với bản sửa lỗi CSRF.
Câu hỏi thực sự là chính xác những lỗ hổng CSRF này đã được sửa là gì? Không nghi ngờ gì nữa là chúng không bao gồm các chi tiết cụ thể trong ghi chú phát hành, do đó gây nguy hiểm hơn nữa cho tất cả các bản phát hành trước đó, nhưng sẽ rất tốt nếu biết vì mục đích vá các triển khai cũ.
CẬP NHẬT # 1:
Khi liên hệ với Magento để biết khi nào họ sẽ phát hành các bản vá cho các lỗ hổng trên, tôi đã nhận được câu trả lời sau:
Cho phép tôi một chút thời gian để nghiên cứu thêm. Tôi không chắc chắn nếu có các bản vá có sẵn cho hai mặt hàng đó, vì chúng được liệt kê trong hệ thống của chúng tôi dưới dạng cải tiến sản phẩm và không phải là lỗi. Tôi sẽ cập nhật cho bạn khi tôi có thêm thông tin.
Tôi sẽ đăng lại thông tin chi tiết ở đây khi tôi nhận được chúng, và sẽ cố gắng hết sức để có được các bản vá được phát hành vì dường như không có bản vá nào tồn tại.
CẬP NHẬT # 2: Sau khi qua lại với nhóm hỗ trợ, tôi đã có thể có được một bản vá thích hợp cho Magento EE 1.12.0.2. Không có bản vá nào được phát hành cho Magento CE 1.7.0.2, và theo như kỹ thuật viên đã xem xét nội bộ cho tôi biết, không có kế hoạch phát hành bản vá chính thức cho CE 1.7.x thay vào đó chỉ giải quyết các vấn đề trong CE 1.8 sắp tới Phiên bản ổn định.
Đối với tệp vá cụ thể EE, tôi không thể đăng trực tiếp (hoặc công cụ ứng dụng vá) ở đây vì chắc chắn nó sẽ vi phạm NDA giữa Magento và cá nhân tôi và công ty tôi làm việc. Tên của bản vá có liên quan là: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - Nếu bạn có Phiên bản doanh nghiệp hoặc khách hàng sử dụng nó, bạn sẽ có thể yêu cầu bản vá này từ nhóm hỗ trợ Magento cùng với ghi chú về các lỗ hổng CSRF mà nó được cho là sẽ sửa.
Đối với người dùng CE 1.7.0.2, tôi có quyền tự do tạo tệp vá (dựa trên bản vá do Magento cung cấp) chỉ bao gồm các khối mã thay đổi tệp mã lõi Magento CE 1.7.0.2. Trong thời trang bình thường, nó bao gồm các bit không liên quan của các nhận xét được thêm vào và định dạng được điều chỉnh cùng với các thay đổi mã có liên quan. Tạo yêu cầu này thay đổi thủ công bản vá gốc để áp dụng bản vá bằng công cụ áp dụng bản vá được cung cấp, sau đó sử dụng git để tạo bản vá dựa trên các thay đổi được áp dụng.
Có thể tải xuống tệp vá mà tôi đã tạo từ ý chính này: https://gist.github.com/davidalger/5938568
Để áp dụng bản vá, đầu tiên cd vào thư mục gốc của bản cài đặt Magento của bạn và chạy lệnh sau: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
Bản vá cụ thể EE bao gồm kiểm tra xác thực khóa biểu mẫu cho các bộ điều khiển dành riêng cho Doanh nghiệp, các thay đổi đối với các tệp mẫu doanh nghiệp / mặc định và doanh nghiệp / iphone để bao gồm các khóa biểu mẫu trong các biểu mẫu được sử dụng cho các hành động của bộ điều khiển được vá và chức năng của Bộ đệm toàn bộ trang bổ sung để giải thích chính xác chuyển khóa biểu mẫu qua lại trên các trang được lưu trữ.
TUYÊN BỐ TỪ CHỐI: Tôi chưa KIỂM TRA bản vá EE do Magento cung cấp cũng như bản vá tôi đã tải lên cho ý chính được liên kết. Bản vá được cung cấp trong ý chính được tham chiếu được cung cấp KHÔNG CÓ BẢO HÀNH và có thể hoặc không thể giải quyết hoàn toàn các lỗ hổng được tham chiếu trong ghi chú phát hành CE 1.8. Là một bản vá chưa được kiểm tra, cũng không có gì đảm bảo rằng nó hoạt động toàn bộ hoặc một phần. Tức là sử dụng rủi ro của riêng bạn, và cần có sự siêng năng để kiểm tra trước khi triển khai vào môi trường sản xuất. Nếu bạn tìm thấy vấn đề với bản vá, hãy cho tôi biết và tôi sẽ cập nhật nó.