Luka w zabezpieczeniach Magento swf XSS - jak ją rozwiązać?

12

Według luki w zabezpieczeniach SWF / Flash wymienionej na stronie : http://appcheck-ng.com/unpched-vulnerabilites-in-magento-e-commerce-platform/

które potwierdziłem, że nadal istnieje w Magento 1.9.1.0, jaka jest najlepsza metoda rozwiązania tego problemu? Masz problemy z blokowaniem lub ograniczaniem dostępu do tych plików SWF?

magento-1.9 adminhtml security skin Rob Mangiafico
źródło
2
Według Piotra Kamińskiego został on załatany w wersji 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, myślę, że rozumiem, dlaczego myślałem, że 1.9.1.0 wciąż jest podatny na atak. Przetestowałem to w kilku sklepach Magento, które zaktualizowały się z wersji 1.9.0.1, a plik editor.swf (który nie jest używany w wersji 1.9.1.0) wciąż tam był ze starszych wersji, więc nadal wyświetlał alert. appcheck podaje uploader.swf i uploaderSingle.swf jako podatne na atak, ale nie mogę otrzymać ostrzeżenia o pojawieniu się w dowolnej wersji używającej tych plików. Widzę, że 1.9.1.0 zaktualizowało oba pliki SWF programu do przesyłania, więc wygląda na to, że zostały załatane. Czy w starszych wersjach 1.9.0.1 i starszych istnieje poprawka / obejście, które można wykorzystać do zmniejszenia ryzyka oprócz aktualizacji?
Rob Mangiafico
Możesz spróbować zastąpić dwa pliki .swf i sprawdzić, czy nie psuje to żadnej funkcji, jeśli tak, może istnieć kod do załatania. Niestety nie wydaje się, że Magento ma oficjalną łatkę dla starszych wersji.
B00MER,

Odpowiedzi:

10

Prawdopodobnie nie jest to w 100% poprawna odpowiedź Stack Exchange, ponieważ nie mogę dostarczyć pełnego rozwiązania, ale myślę, że lepiej jest opublikować to niż nic.

Dostępna jest łatka od pomocy technicznej dla przedsiębiorstw, która rozwiązuje problem. Nie wolno mi publikować łatki, ale jeśli jesteś klientem korporacyjnym, możesz poprosić o łatkę, ponieważ jest ona również kompatybilna z niektórymi wersjami CE.

Oto kilka informacji, które mam nadzieję udostępnić bez kłopotów:

Łata usuwa dwa pliki SWF i modyfikuje pliki SWF przesyłającego.

Powiedziano mi, że łatka jest zgodna z tymi wersjami CE:

  • 1,4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Ponadto jest kompatybilny ze wszystkimi wersjami EE <1.14.0.0, więc myślę, że łatka jest zawarta w EE 1.14. Ma to sens, że wówczas jest również uwzględniony w CE 1.9.

[Aktualizacja] Wsparcie zostało poinformowane przeze mnie, że łatka została włączona do CE 1.9.1. Dlatego rozwiązaniem powinna być albo aktualizacja do CE 1.9.1.0, albo zażądanie tej łatki bezpośrednio od Magento.

Matthias Zeis
źródło