Cara memeriksa modul mana yang dipengaruhi oleh patch keamanan SUPEE-6788


71

Pada 27 Oktober 2015, Magento telah merilis patch keamanan SUPEE-6788. Menurut perincian teknis , 4 APPSEC yang telah diperbaiki memerlukan pengerjaan ulang dalam modul lokal dan komunitas:

  • APPSEC-1034, mengatasi melewati URL admin khusus (dinonaktifkan secara default)
  • APPSEC-1063, mengatasi kemungkinan injeksi SQL
  • APPSEC-1057, metode pemrosesan template memungkinkan akses ke informasi pribadi
  • APPSEC-1079, menangani potensi eksploitasi dengan jenis file opsi kustom

Saya bertanya-tanya bagaimana cara memeriksa modul mana yang dipengaruhi oleh patch keamanan ini.

Saya datang dengan solusi parsial berikut:

  • APPSEC-1034: cari <use>admin</use>di config.xml dari semua modul lokal dan komunitas. Saya pikir ini harus mencantumkan semua modul yang terpengaruh oleh masalah ini.
  • APPSEC-1063: mencari addFieldToFilter('(dan addFieldToFilter('`di semua file PHP modul lokal dan komunitas. Ini tidak lengkap, karena variabel juga dapat digunakan.
  • APPSEC-1057: mencari {{config path=dan {{block type=dalam semua file PHP modul lokal dan komunitas, dan menyaring semua elemen dari daftar putih. Ini tidak lengkap, karena tidak mengandung variabel template yang ditambahkan oleh admin.
  • APPSEC-1079: tidak tahu.

Ada juga daftar ekstensi yang rentan untuk APPSEC-1034 dan APPSEC-1063 yang disusun oleh Peter Jaap Blaakmeer


Saya tidak tahu bagaimana cara menghubungi @PeterJaapBlaakmeer tetapi saya memiliki ekstensi yang perlu ditambahkan ke daftar: FreeLunchLabs ConstantContact untuk masalah admin url
David Wilkins

6
siapa yang menemukan beberapa solusi ini? Tiba-tiba akan ada jenis blok dan daftar putih variabel? Meng-upgrade Magento selalu menyakitkan, tapi pekerjaan yang bagus untuk Magento membuatnya lebih menyakitkan.
Agop

6
Heh, Magento, hadiah yang terus memberi. Saya baru saja selesai memutakhirkan SEMUA modul untuk kompatibilitas 1.9.2.1. Pengembang modul taruhan hanya melompat kegirangan atau berlari berteriak untuk bukit.
Fiasco Labs

3
saat ini tambalan ditunda untuk minggu depan - tunda rilis tambalan keamanan hingga awal minggu depan dan modifikasi tambalan sehingga perubahan perutean admin dimatikan secara default. Ini berarti bahwa patch akan menyertakan perbaikan, tetapi itu akan dinonaktifkan ketika diinstal. Tanggal rilis baru dan perubahan pada tambalan akan memberi Anda waktu tambahan untuk membuat pembaruan pada kode Anda dan akan memberi pedagang fleksibilitas untuk mengaktifkan bagian tambalan ini setelah ekstensi dan penyesuaiannya diperbarui untuk bekerja dengannya.
FireBear

Jawaban:


55

SUPEE-6788 dirilis dan perubahan perutean admin dimatikan secara default. Ini berarti bahwa tambalan menyertakan perbaikan, tetapi itu akan dinonaktifkan ketika diinstal. Ini akan memberi Anda waktu tambahan untuk membuat pembaruan pada kode Anda dan akan memberikan fleksibilitas kepada pedagang untuk mengaktifkan bagian tambalan ini setelah ekstensi dan penyesuaiannya diperbarui untuk bekerja dengannya.

Untuk mengaktifkan kemampuan perutean admin untuk ekstensi setelah menginstal jalur, buka Admin -> Lanjutan -> Admin -> Keamanan.

Magento CE 1.4-1.6 tambalan ditunda dan akan tersedia dalam waktu sekitar satu minggu!

SUPEE-6788 Daftar sumber daya


Untuk setiap modul "tidak akan diperbaiki", dapatkah kita mendokumentasikan apa yang secara umum perlu diubah agar modul ini dapat ditambal secara manual untuk bekerja dengan 6788? Misalnya, "hapus X dari semua addFieldToFilterpanggilan."
Tyler V.

1
Patch telah dirilis. Harap perbarui jawaban Anda.
7ochem

@FireBear Saya sudah menerapkan patch Magento di masa lalu berkali-kali. Tapi saya ragu tentang SUPEE-6788. Apakah saya perlu menerapkannya seperti tambalan lain dan nanti saya dapat mengaktifkan kemampuan perutean admin di panel admin Magento atau saat waktu pemasangan saja saya harus berhati-hati. Tolong sarankan.
Mukesh

2
@Muk ya Anda dapat menginstalnya sebagai tambalan lain, tetapi perlu berhati-hati tentang ekstensi yang rusak, jika Anda menggunakan beberapa ekstensi dari daftar - Anda perlu memperbaikinya secara manual atau menunggu pembaruan dari pengembang, hingga Anda dapat mengaktifkannya - Kemampuan routing Admin untuk ekstensi
FireBear

@FireBear Bisakah Anda memberikan umpan balik Anda pada community.magento.com/t5/Version-Upgrades/… (Sebelum dan Sesudah dalam modul khusus)
Mukesh

21

Sejalan dengan komentar lain tentang mendeteksi konflik, kami di ParadoxLabs telah membuat skrip untuk melacak segala sesuatu yang dipengaruhi oleh APPSEC-1034 (pengontrol admin) dan APPSEC-1057 (daftar putih). Ini juga akan berusaha untuk memperbaiki pengendali buruk, karena itu perubahan yang cukup tepat dan invasif untuk dilakukan.

Itu tidak mencakup APPSEC-1063 (injeksi SQL) atau APPSEC-1079 (opsi khusus), tetapi akan lebih bagus jika bisa. Tidak yakin bagaimana mendeteksi orang-orang dengan ketepatan apapun. Kami terbuka untuk kontribusi.

https://github.com/rhoerr/supee-6788-toolbox


3
ini terlihat sangat berguna, kerja bagus!
paj

fixWhitelists menambahkan blokir ke daftar putih tetapi tampaknya tidak melakukan hal yang sama untuk variabel - dapatkah Anda mengonfirmasi?
zigojacko

1
@zigojacko Ini mencakup keduanya.
Ryan Hoerr 615

Yap, memecahkan ini dengan mencobanya. Kerja luar biasa, pekerjaan super oleh ParadoxLabs :)
zigojacko

Hormati ParadoxLabs. Alat itu menghemat banyak pekerjaan.
DarkCowboy

5

Script php ini mungkin berguna dalam mengidentifikasi kode Magento yang dipengaruhi oleh patch SUPEE-6788 yang diusulkan .

Ini sama sekali bukan pemeriksaan keamanan yang mudah untuk tambalan ini, tetapi mungkin berguna untuk dengan cepat memindai instalasi Anda untuk modul dan kode yang terpengaruh.

Instal skrip dengan

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

edit path ke instalasi Magento Anda

$_magentoPath='/home/www/magento/';

Lari

php magento_appsec_file_check.php

File yang terpengaruh akan ditampilkan:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Script menggunakan grep untuk mencari file Magento untuk mencari kejadian kode yang dapat merusak kompatibilitas dengan kustomisasi atau ekstensi ketika SUPEE-6788 diterapkan.


4

Sudah ada daftar besar yang tersedia dengan semua ekstensi yang akan pecah dengan SUPEE-6788

Info lebih lanjut di sini: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0


Saya benar-benar ingin tahu bagaimana daftar ini dikumpulkan.
mam08ixo

3
Itu crowdsourced; sumber asli adalah: docs.google.com/spreadsheets/d/…
Herman Slatman

Harap hapus daftar dari halaman di atas dan tautkan ke sumber sebagai gantinya, yang terus diperbarui: docs.google.com/spreadsheets/d/…
Aad Mathijssen

1
Apakah ada kontak untuk memberi tahu tentang versi yang diperbarui? Saya melihat ada setidaknya 2-3 modul yang sudah diperbarui.
versedi

-1

Daftar variabel yang diizinkan, yang dapat diproses melalui filter konten, lebih besar daripada yang ditunjukkan dalam PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(Saya telah menambahkan +sebelum variabel yang tidak dijelaskan dalam PDF)

Blok yang dibolehkan yang dapat diproses melalui filter konten adalah:

core/template
catalog/product_new
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.