Có phải Symlinks trên các mẫu là một vấn đề bảo mật, và nếu có, tại sao?

Magento khuyên không nên sử dụng các mẫu thông qua symlink:

Advanced > Developer > Template Settings > Allow Symlinks

Cảnh báo! Kích hoạt tính năng này không được khuyến nghị trên các môi trường sản xuất vì nó thể hiện rủi ro bảo mật tiềm ẩn.

Cho đến hôm nay tôi không thể thấy bất kỳ rủi ro nào ở đây.

• Rủi ro là gì?

Symlinks không nhất thiết là xấu.

Trước hết: Nếu cố gắng mở một mục tiêu liên kết tượng trưng, ​​quyền truy cập tệp của mục tiêu có hiệu lực. Nếu bạn không được phép đọc / ghi / thực hiện mục tiêu liên kết tượng trưng, ​​không có gì xảy ra.

Nhưng: Bạn có thể chạy các tệp bên ngoài gốc tài liệu của mình (đôi khi đó thực sự là những gì bạn muốn làm với chúng, phải không?). Vấn đề có thể xảy ra nếu bạn không ở trong môi trường suEXEC và có apachehoặc www-datangười dùng trên một lưu trữ được chia sẻ, chịu trách nhiệm phục vụ các tệp từ các tài khoản khác nhau. Người dùng hệ thống của bạn không được phép truy cập các tệp của một khách hàng khác, nhưng apache/www-datangười dùng chủ yếu sẽ có quyền đọc trên tất cả các tài khoản được chia sẻ. Đây có thể là một tình huống trong đó một người dùng có thể truy cập các tệp của người dùng khác trên máy chủ được chia sẻ. Không phải với người dùng của riêng bạn, mà bằng cách truy cập tệp qua trình duyệt với apache/www-datangười dùng. Tóm lại: Trong trường hợp này, bạn sẽ có thể truy cập các tệp của người dùng khác => xấu.

Điều tồi tệ tiếp theo là kẻ tấn công có thể tạo liên kết tượng trưng, ​​cũng như các tệp như / etc / passwd, ..., tải xuống dữ liệu này và tiếp tục với thông tin này. Điều này không chỉ liên quan đến symlink mà còn liên quan đến cấu hình máy chủ xấu (nơi quyền truy cập vào các tệp này bị hạn chế nghiêm ngặt). Vì vậy, không sử dụng symlink ngăn chặn một số cuộc tấn công có thể hơn.

Đó không chỉ là về bản thân symlink là một rủi ro bảo mật, mà là vấn đề cấu hình máy chủ.

đúng vậy, đó là lý do tại sao máy chủ web thường có cấu hình "không theo liên kết tượng trưng" hoặc ít nhất là "chỉ theo liên kết của mục tiêu với cùng một người dùng" Thats vì webserver / php thường chạy với nhiều quyền hơn nên bạn nên có quyền truy cập.

Và vì các máy chủ web thường cố gắng tránh những thứ như nhìn thấy / etc / bóng, nên đối với các mẫu magento thậm chí còn nguy hiểm hơn, vì các mẫu được phân tích cú pháp thông qua bao gồm () để bạn có thể bị rò rỉ bảo mật rất mạnh nếu bạn không kiểm soát hoàn toàn các tệp của mình.

Bạn có thể lập luận rằng sau đó có những vấn đề khác, nhưng ai thực sự biết mọi kịch bản tấn công tiềm năng, và hầu hết sự kết hợp của các lỗ hổng bảo mật ít vấn đề khác nhau, dẫn đến những phá vỡ lớn.

Ngoài ra, trước đây đã có một sửa chữa bảo mật liên quan đến thư mục phương tiện và liên kết tượng trưng, ​​vì vậy bạn nên xem xét các tình huống tấn công có thể xảy ra.

Tôi chỉ có thể tưởng tượng đây là một rủi ro trên các máy chủ được chia sẻ, không nên được sử dụng cho Thương mại điện tử ngay từ đầu.

Bản vá Magento SUPEE-9767 bao gồm APPSEC-1281: Thực thi mã từ xa thông qua các liên kết tượng trưng , vì vậy, vâng, các Liên kết trên các mẫu là một vấn đề bảo mật.

Loại:
Thực thi mã từ xa (RCE)

CVSSv3 Mức độ nghiêm trọng:
8,8 (Cao)

Tấn công đã biết:
Có. Những kẻ tấn công đang vô hiệu hóa bảo vệ cấu hình sau khi có quyền truy cập của quản trị viên và đang tải lên mã độc.

Mô tả:
Việc sử dụng tùy chọn AllowSymlinks trong cài đặt cấu hình có thể cho phép tải lên hình ảnh có chứa mã độc. Mặc dù tùy chọn này bị tắt theo mặc định, kẻ tấn công có quyền truy cập để lưu cài đặt cấu hình có thể kích hoạt nó và thực thi mã từ xa.

(Các) Sản phẩm bị ảnh hưởng:
Magento CE trước 1.9.3.3 và Magento EE trước 1.14.3.3

Đã sửa lỗi trong:
CE 1.9.3.3, EE 1.14.3.3, SUPEE-9767

Phóng viên:
Wilko Nienhaus

Không đề nghị cho phép. Tôi đã phải đối mặt với lỗi tải js trong khi bật liên kết tượng trưng.
Nhiều;

LoạiError: $ .widget không phải là một hàm

Tôi phải thử 4-5 lần làm mới cho các trang được tải thành công.
Sau khi đóng nó, có thể không được triển khai tải tài nguyên lần đầu tiên nhưng lỗi js đã biến mất.

PS: Sau khi vô hiệu hóa symlink, bạn phải xóa bản sao đã triển khai của các tệp sau mỗi thay đổi đối với static.php sao chép lại cho bạn.