Jak sprawdzić, na które moduły ma wpływ poprawka bezpieczeństwa SUPEE-6788

27 października 2015 r. Magento wydało poprawkę bezpieczeństwa SUPEE-6788. Zgodnie ze szczegółami technicznymi , 4 naprawione APPSEC wymagają pewnych przeróbek w modułach lokalnych i społecznościowych:

• APPSEC-1034, adresowanie z pominięciem niestandardowego adresu URL administratora (domyślnie wyłączone)
• APPSEC-1063, adresowanie możliwego wstrzyknięcia SQL
• APPSEC-1057, metoda przetwarzania szablonów umożliwia dostęp do prywatnych informacji
• APPSEC-1079, rozwiązując problem potencjalnego wykorzystania przy użyciu niestandardowego typu pliku opcji

Zastanawiałem się, jak sprawdzić, które moduły dotyczą tej poprawki zabezpieczeń.

Wymyśliłem następujące częściowe rozwiązanie:

• APPSEC-1034: wyszukaj <use>admin</use>w pliku config.xml wszystkich modułów lokalnych i społecznościowych. Myślę, że powinno to zawierać listę wszystkich modułów, których dotyczy ten problem.
• APPSEC-1063: wyszukaj addFieldToFilter('(i addFieldToFilter('`we wszystkich plikach PHP modułów lokalnych i społecznościowych. Jest to niekompletne, ponieważ można również użyć zmiennych.
• APPSEC-1057: wyszukaj {{config path=i {{block type=we wszystkich plikach PHP modułów lokalnych i społecznościowych oraz odfiltruj wszystkie elementy z białej listy. Jest to jednak niekompletne, ponieważ nie zawiera żadnych zmiennych szablonów dodanych przez administratorów.
• APPSEC-1079: nie ma pojęcia.

Istnieje również lista rozszerzeń, które są podatne na APPSEC-1034 i APPSEC-1063, opracowanych przez Petera Jaapa Blaakmeera

Wersja SUPEE-6788 została zwolniona, a zmiany routingu administracyjnego domyślnie wyłączone. Oznacza to, że poprawka zawiera poprawkę, ale zostanie wyłączona po zainstalowaniu. To da ci dodatkowy czas na aktualizację twojego kodu i da sprzedawcom elastyczność włączania tej części łatki, gdy ich rozszerzenia i dostosowania zostaną zaktualizowane do pracy z nią.

Aby włączyć funkcję routingu administratora dla rozszerzeń po instalacji ścieżki, przejdź do Administrator -> Zaawansowane -> Administrator -> Bezpieczeństwo.

Łaty Magento CE 1.4-1.6 są opóźnione i powinny być dostępne za około tydzień!

SUPEE-6788 Lista zasobów

• Oficjalne szczegóły i pobieranie SUPEE-6788 - http://magento.com/security/patches/supee-6788 i https://www.magentocommerce.com/download

• Jak zastosować dyskusję SUPEE-6788 z przydatnymi wskazówkami - https://magento.meta.stackexchange.com/a/734/2282

• Zainstaluj SUPEE-6788 bez SSH - https://magentary.com/kb/install-supee-6788-without-ssh/

• SUPEE-6788 dla CE 1.7.0.1 - 1.9.2.1 na GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• SUPEE-6788 dla EE 1.12.x - 1.14.x na GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788 i kompatybilność wsteczna - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• Aktualizowana przez społeczność lista rozszerzeń, które zepsują się w przypadku SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg=htmlview?sle gid = 0

• Pomocne polecenia Magerun https://github.com/peterjaap/magerun-addons

  • n98-magerun dev: template-var - Znajdź zmienne / bloki nie umieszczone na białej liście, aby były kompatybilne z SUPEE-6788 i Magento 1.9.2.2
  • n98-magerun.phar dev: old-admin-routing - Znajdź rozszerzenia, które używają routingu administracyjnego w starym stylu (który nie jest kompatybilny z SUPEE-6788 i Magento 1.9.2.2)

• Sprawdź, czy sklep jest załatany / dotyczy - https://www.magereport.com/

• Niektóre niestandardowe bloki na stronie głównej zniknęły po zainstalowaniu łaty - APPSEC-1057 Jak dodać zmienne lub bloki do tabel białej listy i https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-custom-blocks-issue /

• Magento SUPEE-6788 Developer Toolbox - znajdź i automatycznie rozwiązuj główne problemy z łatki https://github.com/rhoerr/supee-6788-toolbox

• MageDownload CLI - narzędzie PHP do automatyzacji pobierania wersji i aktualizacji Magento - https://github.com/steverobbins/magedownload-cli

• Jak dodać do białej listy zmienne i bloki szablonów dla SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• Sprawdź pliki Magento pod kątem znanego kodu podlegającego usterce appsec - https://github.com/Schrank/magento-appsec-file-check

• Typowe problemy z instalacją poprawki SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• Poprawa wydajności dla poprawki Magento SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , Szczegóły - http://www.magecore.com/blog / news / performance-problems-magento-security-patch-supee-6788

Zgodnie z innymi komentarzami na temat wykrywania konfliktów, w ParadoxLabs stworzyliśmy skrypt do śledzenia wszystkiego, na co wpływ mają APPSEC-1034 (kontrolery administracyjne) i APPSEC-1057 (biała lista). Spróbuje również naprawić wszelkie złe kontrolery, ponieważ jest to dość precyzyjna i inwazyjna zmiana.

Nie obejmuje APPSEC-1063 (wstrzyknięcie SQL) ani APPSEC-1079 (opcje niestandardowe), ale byłoby świetnie, gdyby mógł. Nie wiesz, jak je wykryć z jakąkolwiek precyzją. Jesteśmy otwarci na wkład.

https://github.com/rhoerr/supee-6788-toolbox

Ten skrypt php może być przydatny do identyfikacji kodu Magento, którego dotyczy proponowana poprawka SUPEE-6788 .

Nie jest to w żaden sposób niezawodne sprawdzenie bezpieczeństwa tej poprawki, ale może być przydatne do szybkiego przeskanowania instalacji w poszukiwaniu modułów i kodu.

Zainstaluj skrypt za pomocą

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

edytuj ścieżkę do instalacji Magento

$_magentoPath='/home/www/magento/';

biegać

php magento_appsec_file_check.php

Dotknięte pliki zostaną wyświetlone:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Skrypt używa grep do przeszukiwania plików Magento w poszukiwaniu wystąpień kodu, które mogą potencjalnie zepsuć wsteczną kompatybilność z dostosowaniami lub rozszerzeniami po zastosowaniu SUPEE-6788.

Dostępna jest już duża lista ze wszystkimi rozszerzeniami, które będą działać z SUPEE-6788

Więcej informacji tutaj: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

Lista dozwolonych zmiennych, które mogą być przetwarzane przez filtr treści, jest większa niż pokazano w pliku PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(Dodałem +wcześniej zmienne, które nie zostały opisane w pliku PDF)

Dozwolone bloki, które można przetwarzać za pomocą filtra treści, to:

core/template
catalog/product_new