Singkatnya, ya. CE 1.7 masih rentan terhadap serangan spesifik tersebut karena tidak ada rilis keamanan yang dikeluarkan yang berisi tambalan.
Dalam kasus yang terakhir, serangan fiksasi sesi, perubahan adalah peningkatan dalam praktik keamanan yang sudah digunakan Magento untuk tetap sejalan dengan praktik terbaik keamanan saat ini. Bukan sesuatu yang mungkin dikeluarkan untuk CE 1.7 jika mereka mengeluarkan tambalan dengan perbaikan CSRF.
Pertanyaan sebenarnya adalah apa sebenarnya kerentanan CSRF ini yang diperbaiki? Tidak diragukan lagi hal yang baik bahwa mereka tidak memasukkan spesifik dalam catatan rilis, sehingga lebih lanjut membahayakan semua rilis sebelumnya, tetapi akan menyenangkan untuk mengetahui demi menambal implementasi lama.
UPDATE # 1:
Setelah menjangkau Magento untuk mencari tahu kapan mereka akan mengeluarkan tambalan untuk kerentanan di atas, saya menerima balasan berikut:
Beri saya waktu untuk meneliti ini lebih lanjut. Saya tidak yakin apakah ada tambalan yang tersedia untuk kedua item tersebut, karena mereka terdaftar di sistem kami sebagai perangkat tambahan produk dan bukan sebagai bug. Saya akan memperbarui Anda ketika saya mendapatkan informasi lebih lanjut.
Saya akan memposting kembali rincian lebih lanjut di sini saat saya mendapatkannya, dan akan melakukan yang terbaik untuk mendapatkan tambalan karena tampaknya saat ini tidak ada tambalan yang ada.
UPDATE # 2: Setelah bolak-balik dengan tim pendukung, saya bisa mendapatkan tambalan yang tepat untuk Magento EE 1.12.0.2. Tidak ada tambalan yang dikeluarkan untuk Magento CE 1.7.0.2, dan sejauh yang saya ketahui, teknisi yang memeriksanya secara internal, tidak ada rencana untuk merilis tambalan resmi untuk CE 1.7.x alih-alih menyelesaikan masalah hanya pada CE 1.8 mendatang. rilis stabil.
Mengenai file patch khusus EE, saya tidak dapat mempostingnya (atau alat aplikasi patch) di sini secara langsung karena pasti akan melanggar NDA antara Magento dan saya sendiri secara pribadi dan perusahaan tempat saya bekerja. Nama tambalan yang relevan adalah: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - Jika Anda memiliki Edisi Perusahaan atau klien yang menggunakannya, Anda harus dapat meminta tambalan ini dari tim dukungan Magento bersama dengan catatan tentang kerentanan CSRF yang seharusnya diperbaiki.
Untuk pengguna CE 1.7.0.2, saya telah mengambil kebebasan untuk menghasilkan file tambalan (berdasarkan tambalan yang disediakan oleh Magento) yang hanya menyertakan potongan kode yang mengubah file kode inti Magento CE 1.7.0.2. Dalam mode normal, itu termasuk bit komentar yang tidak relevan dan pemformatan yang disesuaikan bersama dengan perubahan kode yang relevan. Membuat ini diperlukan secara manual mengubah patch asli untuk menerapkannya menggunakan alat penerapan patch yang disediakan, kemudian menggunakan git untuk menghasilkan patch berdasarkan perubahan yang diterapkan.
File tambalan yang saya buat dapat diunduh dari intisari ini: https://gist.github.com/davidalger/5938568
Untuk menerapkan tambalan, pertama cd ke root instalasi Magento Anda dan jalankan perintah berikut: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
Patch spesifik EE termasuk pemeriksaan validasi kunci form untuk pengendali spesifik perusahaan, perubahan pada file template perusahaan / default dan perusahaan / iphone untuk menyertakan kunci form dalam formulir yang digunakan untuk tindakan kontroler yang ditambal, dan tambahan fungsionalitas Cache Halaman Penuh untuk menjelaskan dengan benar melewati tombol formulir bolak-balik di halaman cache.
PENOLAKAN: Saya belum menguji patch EE yang disediakan oleh Magento atau patch yang saya unggah ke intisari tertaut. Patch yang disediakan dalam intisari yang direferensikan disediakan dengan TANPA GARANSI dan mungkin atau mungkin tidak sepenuhnya menyelesaikan kerentanan yang dirujuk dalam catatan rilis CE 1.8. Sebagai tambalan yang belum diuji, juga tidak ada jaminan bahwa itu berfungsi secara keseluruhan atau sebagian. Yaitu menggunakan dengan risiko Anda sendiri, dan melakukan uji tuntas untuk menguji sebelum digunakan ke lingkungan produksi. Jika Anda menemukan masalah dengan tambalan, beri tahu saya dan saya akan memperbaruinya.