Cách kiểm tra mô-đun nào bị ảnh hưởng bởi bản vá bảo mật SUPEE-6788


71

Vào ngày 27 tháng 10 năm 2015, Magento đã phát hành bản vá bảo mật SUPEE-6788. Theo các chi tiết kỹ thuật , 4 APPSEC đã được sửa chữa yêu cầu một số thao tác lại trong các mô-đun địa phương và cộng đồng:

  • APPSEC-1034, giải quyết bỏ qua URL quản trị viên tùy chỉnh (bị tắt theo mặc định)
  • APPSEC-1063, giải quyết vấn đề SQL có thể
  • APPSEC-1057, phương thức xử lý mẫu cho phép truy cập thông tin cá nhân
  • APPSEC-1079, giải quyết khai thác tiềm năng với loại tệp tùy chọn tùy chỉnh

Tôi đã tự hỏi làm thế nào để kiểm tra các mô-đun bị ảnh hưởng bởi bản vá bảo mật này.

Tôi đã đưa ra giải pháp một phần sau đây:

  • APPSEC-1034: tìm kiếm <use>admin</use>trong tệp config.xml của tất cả các mô-đun cục bộ và cộng đồng. Tôi nghĩ rằng điều này nên liệt kê tất cả các mô-đun bị ảnh hưởng bởi vấn đề này.
  • APPSEC-1063: tìm kiếm addFieldToFilter('(addFieldToFilter('`trong tất cả các tệp PHP của các mô đun cộng đồng và cục bộ. Điều này là không đầy đủ, vì các biến cũng có thể được sử dụng.
  • APPSEC-1057: tìm kiếm {{config path={{block type=trong tất cả các tệp PHP của các mô đun cộng đồng và cục bộ và lọc ra tất cả các yếu tố từ danh sách trắng. Điều này là không đầy đủ, tuy nhiên nó không chứa bất kỳ biến mẫu nào được thêm bởi quản trị viên.
  • APPSEC-1079: không có ý tưởng.

Ngoài ra còn có một danh sách các phần mở rộng dễ bị tổn thương cho APPSEC-1034 và APPSEC-1063 do Peter Jaap Blaakmeer biên soạn


Tôi không biết làm thế nào để liên hệ với @PeterJaapBlaakmeer nhưng tôi có một tiện ích mở rộng cần được thêm vào danh sách: FreeLunchLabs ConstantContact cho vấn đề url quản trị viên
David Wilkins

6
Ai đã đưa ra một số giải pháp này? Đột nhiên, sẽ có một loại khối và danh sách trắng thay đổi? Nâng cấp Magento luôn là một nỗi đau, nhưng công việc tốt đối với Magento vì đã khiến nó trở nên khó khăn hơn.
Agop

6
Heh, Magento, món quà không ngừng đưa ra. Tôi vừa hoàn thành nâng cấp TẤT CẢ các mô-đun để tương thích 1.9.2.1. Các nhà phát triển mô-đun đặt cược chỉ đang nhảy lên vì sung sướng hoặc chạy la hét trên đồi.
Phòng thí nghiệm Fiasco

3
tại thời điểm này, bản vá bị hoãn trong tuần tới - hoãn phát hành bản vá bảo mật cho đến đầu tuần sau và sửa đổi bản vá để các thay đổi định tuyến của quản trị viên bị tắt theo mặc định. Điều này có nghĩa là bản vá sẽ bao gồm bản sửa lỗi, nhưng nó sẽ bị vô hiệu hóa khi cài đặt. Ngày phát hành mới và các thay đổi đối với bản vá sẽ cho bạn thêm thời gian để cập nhật mã của mình và sẽ cho phép người bán linh hoạt bật phần này của bản vá khi các tiện ích mở rộng và tùy chỉnh của họ đã được cập nhật để hoạt động với nó.
FireBear

Câu trả lời:


55

SUPEE-6788 được phát hành và thay đổi định tuyến quản trị viên bị tắt theo mặc định. Điều này có nghĩa là bản vá bao gồm bản sửa lỗi, nhưng nó sẽ bị vô hiệu hóa khi cài đặt. Điều này sẽ cung cấp cho bạn thêm thời gian để thực hiện cập nhật mã của bạn và sẽ cho phép người bán linh hoạt bật phần này của bản vá một khi các tiện ích mở rộng và tùy chỉnh của họ đã được cập nhật để hoạt động với nó.

Để bật khả năng định tuyến của quản trị viên cho các tiện ích mở rộng sau khi cài đặt đường dẫn, hãy đi tới Quản trị viên -> Nâng cao -> Quản trị viên -> Bảo mật.

Các bản vá Magento CE 1.4-1.6 bị trì hoãn và sẽ có trong khoảng một tuần!

Danh sách tài nguyên SUPEE-6788


Đối với bất kỳ mô-đun "sẽ không sửa chữa", chúng tôi có thể ghi lại những gì nói chung cần phải thay đổi để các mô-đun này có thể được vá bằng tay để hoạt động với 6788 không? Ví dụ: "xóa X khỏi tất cả các addFieldToFiltercuộc gọi."
Tyler V.

1
Các bản vá đã được phát hành. Hãy cập nhật câu trả lời của bạn.
7ochem

@FireBear Tôi đã áp dụng các bản vá Magento trong nhiều lần. Nhưng tôi có nghi ngờ về SUPEE-6788. Tôi có cần phải áp dụng nó như các bản vá khác không và sau này tôi có thể kích hoạt khả năng định tuyến của quản trị viên trong bảng quản trị Magento hoặc trong khi chỉ cần cài đặt thời gian cài đặt. Xin đề nghị.
Mukesh

2
@Muk có, bạn có thể cài đặt nó dưới dạng các bản vá khác, nhưng cần cẩn thận với các tiện ích mở rộng bị hỏng, nếu bạn sử dụng một số tiện ích mở rộng trong danh sách - bạn cần sửa chúng theo cách thủ công hoặc chờ cập nhật từ nhà phát triển, cho đến khi bạn có thể bật - Khả năng định tuyến của quản trị viên cho tiện ích mở rộng
FireBear

@FireBear Bạn có thể cung cấp phản hồi của mình về Community.magento.com/t5/Version-Upgrades/iêng (Trước và sau trong mô-đun tùy chỉnh)
Mukesh

21

Cùng với những bình luận khác về việc phát hiện xung đột, tại ParadoxLabs, chúng tôi đã tạo ra một kịch bản để theo dõi mọi thứ bị ảnh hưởng bởi APPSEC-1034 (bộ điều khiển quản trị) và APPSEC-1057 (danh sách trắng). Nó cũng sẽ cố gắng khắc phục bất kỳ bộ điều khiển xấu nào, vì đó là một thay đổi khá chính xác và xâm lấn.

Nó không bao gồm APPSEC-1063 (SQL tiêm) hoặc APPSEC-1079 (tùy chọn tùy chỉnh), nhưng sẽ rất tuyệt nếu có thể. Không chắc chắn làm thế nào để phát hiện những người có bất kỳ loại chính xác. Chúng tôi sẵn sàng đóng góp.

https://github.com/rhoerr/supee-6788-toolbox


3
Điều này có vẻ thực sự hữu ích, làm việc tốt!
ngủ

fixWhlistists thêm các khối vào danh sách trắng nhưng dường như không làm tương tự cho các biến - vui lòng xác nhận?
zigojacko

1
@zigojacko Nó bao gồm cả hai.
Ryan Hoerr

Đúng, tìm ra điều này bằng cách cho nó đi. Công việc tuyệt vời, siêu công việc của ParadoxLabs :)
zigojacko

Tôn trọng ParadoxLabs. Công cụ đó đang tiết kiệm một lượng lớn công việc.
DarkCowboy

5

Tập lệnh php này có thể hữu ích trong việc xác định mã Magento bị ảnh hưởng bởi bản vá SUPEE-6788 được đề xuất .

Đây không phải là cách kiểm tra bảo mật hoàn hảo cho bản vá này, nhưng có thể hữu ích để nhanh chóng quét cài đặt của bạn cho các mô-đun và mã bị ảnh hưởng.

Cài đặt tập lệnh với

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

chỉnh sửa đường dẫn đến bản cài đặt Magento của bạn

$_magentoPath='/home/www/magento/';

chạy

php magento_appsec_file_check.php

Các tập tin bị ảnh hưởng sẽ được hiển thị:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Tập lệnh sử dụng grep để tìm kiếm các tệp Magento cho các lần xuất hiện của mã có thể phá vỡ tính tương thích ngược với các tùy chỉnh hoặc tiện ích mở rộng khi áp dụng SUPEE-6788.


4

Đã có một danh sách lớn có sẵn với tất cả các tiện ích mở rộng sẽ phá vỡ với SUPEE-6788

Thêm thông tin tại đây: https://docs.google.com/s Lansheet / d / 1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0


Tôi thực sự tò mò muốn biết làm thế nào danh sách này được thu thập.
mam08ixo

3
Đó là đám đông; nguồn gốc là: docs.google.com.vn/s
dàn tính / d / từ

Vui lòng xóa danh sách khỏi trang ở trên và liên kết với nguồn thay vào đó, được cập nhật thường xuyên: docs.google.com.vn/s
Aad Mathijssen

1
Có bất kỳ liên hệ để biết về các phiên bản cập nhật? Tôi thấy có ít nhất 2-3 mô-đun đã được cập nhật.
Versedi

-1

Danh sách các biến được phép, có thể được xử lý thông qua bộ lọc nội dung, lớn hơn hiển thị trong PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(Tôi đã thêm một +trước các biến không được mô tả trong PDF)

Các khối được phép có thể được xử lý thông qua bộ lọc nội dung là:

core/template
catalog/product_new
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.