Poprawka bezpieczeństwa Magento SUPEE-6482, Co jest załatana?

Dzisiaj 04.08.2015 została wydana nowa łatka bezpieczeństwa, niektórzy koledzy i ja sprawdzaliśmy łatkę i zawsze miło jest porozmawiać o tym, co się zmieniło, czy też ktoś wie, jakie są możliwe ataki, które mogą wpłynąć na niezakończony sklep? Co najgorszego może się zdarzyć?

Aktualizacja: Chciałem tylko dodać e-mail Magento wysłany dzisiaj, aby ukończyć post.

Rzeczywista poprawka bezpieczeństwa ( SUPEE-6482 ) wpływa tylko na dwa następujące pliki i jest poprawką API.

app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
app/code/core/Mage/Catalog/Model/Product/Api/V2.php

Pełna instalacja 1.9.2.1 to zupełnie inna sprawa. Różniłbym kod źródłowy między 1.9.2.0 a 1.9.2.1, aby dowiedzieć się o dwóch pozostałych poprawionych elementach.

Informacje o wersji dotyczą pełnego instalatora, należy sprawdzić poprawkę, aby zobaczyć, czy faktycznie zawiera ona wszystkie elementy wymienione w informacjach o wersji.

Konsekwencje uruchomienia niezałatanego serwera:

1. Skrypty między witrynami przy użyciu nieważnych nagłówków => Zatrucie pamięci podręcznej
2. Automatyczne ładowanie pliku Dołączenie do Magento SOAP API => Zdalne automatyczne ładowanie kodu
3. XSS w Wyszukiwarce rejestru prezentów => Kradzież plików cookie i podszywanie się pod użytkownika
4. Luka w zabezpieczeniach SSRF w pliku WSDL => Wyciek informacji z wewnętrznego serwera i zdalne włączenie pliku

UWAGA: Pliki załatane w archiwum pełnej instalacji, które nie są załatane łatką, hmm?

diff -r magento-1920/app/code/core/Mage/Core/Controller/Request/Http.php magento-1921/app/code/core/Mage/Core/Controller/Request/Http.php
300a301
>         $host = $_SERVER['HTTP_HOST'];
302,303c303,304
<             $host = explode(':', $_SERVER['HTTP_HOST']);
<             return $host[0];
---
>             $hostParts = explode(':', $_SERVER['HTTP_HOST']);
>             $host =  $hostParts[0];
305c306,313
<         return $_SERVER['HTTP_HOST'];
---
> 
>         if (strpos($host, ',') !== false || strpos($host, ';') !== false) {
>             $response = new Zend_Controller_Response_Http();
>             $response->setHttpResponseCode(400)->sendHeaders();
>             exit();
>         }
> 
>         return $host;

diff -r magento-1920/app/design/frontend/base/default/template/page/js/cookie.phtml magento-1921/app/design/frontend/base/default/template/page/js/cookie.phtml
37,38c37,38
< Mage.Cookies.path     = '<?php echo $this->getPath()?>';
< Mage.Cookies.domain   = '<?php echo $this->getDomain()?>';
---
> Mage.Cookies.path     = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getPath()) ?>';
> Mage.Cookies.domain   = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getDomain()) ?>';

Mam szczegółową analizę zmian i jakich skutków ubocznych należy się spodziewać.

W wersji dla EE 1.13.1.0 zmieniono następujące pliki:

2015-08-05 07:14:25 UTC | SUPEE-6482_EE_1.13.1.0 | EE_1.13.1.0 | v2 | 7e38036f94f250514fcc11d066a43c9bdb6a3723 | Tue Jul 28 14:29:35 2015 +0300 | v1.13.1.0..HEAD
patching file app/code/core/Enterprise/PageCache/Model/Processor.php
patching file app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
patching file app/code/core/Mage/Catalog/Model/Product/Api/V2.php
patching file app/code/core/Mage/Core/Controller/Request/Http.php
Hunk #1 succeeded at 294 (offset 7 lines).
patching file app/design/frontend/base/default/template/page/js/cookie.phtml
patching file app/design/frontend/enterprise/default/template/giftregistry/search/form.phtml

• W Adapter/Soap.phpurlencoding jest dodawany do danych uwierzytelniających. Nie powinno to mieć negatywnego skutku ubocznego. Zapewnia to, że wynikowy wsdlUrljest prawidłowy. Bez tej zmiany można wpłynąć na adres URL
• Product/Api/V2.php: Oto kilka sprawdzeń, czy przekazane dane są obiektem. Nie powinno się to zdarzyć w normalnych okolicznościach.
• w Request/Http.phpi PageCache/Model/Processor.phpdodaje się czek podczas pobierania HTTP HOST. Wydaje się, że obejmuje to wspomniane zastrzyki z nagłówka. Kontrola ma zastosowanie tylko wtedy, gdy istnieje host ;lub ,HTTP, więc powinno to być bezkrytyczne w rzeczywistych systemach / nie powinno mieć negatywnych skutków ubocznych.
• w cookie.phtmlucieczce jest dodawany. Więc to musi być przeniesione do twojego motywu, jeśli zastąpisz ten plik
• podobne do giftregistry/search/form.phtml

Podsumowując, powiedziałbym, że zastosowanie poprawki nie powinno mieć żadnych negatywnych skutków ubocznych. Pamiętaj, aby przekazać zmiany do .phtmlplików.

Dziwne jest to, że łatka EE zawiera modyfikacje następujących plików:

app/code/core/Mage/Core/Controller/Request/Http.php
app/design/frontend/base/default/template/page/js/cookie.phtml

Kiedy CE nie, dla równoważnej wersji.

Przypuszczam, że w tej SUPEE-6482wersji CE czegoś brakuje , a V2 może wkrótce zostać wydane.

Poprawka wydania Magento SUPEE-6482 do naprawy poniższego wydania w edycji CE i EE

Dla Magento Community Edition:

• Automatyczne ładowanie plików w API SOAP Magento
• Luka w zabezpieczeniach SSRF w pliku WSDL

Dla Magento Enterprise Edition

• Automatyczne ładowanie plików w API SOAP Magento
• Luka w zabezpieczeniach SSRF w pliku WSDL
• Skrypty między witrynami przy użyciu nieważnych nagłówków

XSS w wyszukiwaniu rejestru prezentów

Robienie zmian w klasie

• Mage_Api_Model_Server_Adapter_Soap

• Mage_Catalog_Model_Product_Api_V2

Zmiany w Mage_Api_Model_Server_Adapter_Soap

             : $urlModel->getUrl('*/*/*');

         if ( $withAuth ) {
-            $phpAuthUser = $this->getController()->getRequest()->getServer('PHP_AUTH_USER', false);
-            $phpAuthPw = $this->getController()->getRequest()->getServer('PHP_AUTH_PW', false);
-            $scheme = $this->getController()->getRequest()->getScheme();
+            $phpAuthUser = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_USER', false));
+            $phpAuthPw = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_PW', false));
+            $scheme = rawurlencode($this->getController()->getRequest()->getScheme());

             if ($phpAuthUser && $phpAuthPw) {
                 $wsdlUrl = sprintf("%s://%s:%s@%s", $scheme, $phpAuthUser, $phpAuthPw,

zmiana w Mage_Catalog_Model_Product_Api_V2

     public function create($type, $set, $sku, $productData, $store = null)
     {
-        if (!$type || !$set || !$sku) {
+        if (!$type || !$set || !$sku || !is_object($productData)) {
             $this->_fault('data_invalid');
         }

@@ -243,6 +243,9 @@ class Mage_Catalog_Model_Product_Api_V2 extends Mage_Catalog_Model_Product_Api
      */
     protected function _prepareDataForSave ($product, $productData)
     {
+        if (!is_object($productData)) {
+            $this->_fault('data_invalid');
+        }
         if (property_exists($productData, 'website_ids') && is_array($productData->website_ids)) {
             $product->setWebsiteIds($productData->website_ids);
         }

Zobacz więcej na: http://www.amitbera.com/magento-security-patch-supee-6482/

Przeczytaj dokumentację Magento dotyczącą tego wydania, odpowiedź jest tam: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/release-notes-ce-1.9.2.1.html

Ta łatka, podobnie jak inne najnowsze łaty, zawiera wiele poprawek dotyczących kopiowania, licencji i literówek. Wprowadza także kilka literówek z tego, co widziałem.

Wygląda na to, że część poprawek zabezpieczeń dotyczy dezynfekcji danych wejściowych użytkownika dla 4 różnych potencjalnych ataków.