SUPEE-9767, modman และ symlink

ฉันต้องการติดตั้งร้าน Magento ด้วย SUPEE-9767 เอกสารสุภี-9767บอกให้ผมปิดการใช้งานการตั้งค่าก่อนที่จะใช้แพทช์ symlinks:

ก่อนที่จะใช้โปรแกรมแก้ไขหรืออัปเกรดเป็นรุ่นล่าสุดตรวจสอบให้แน่ใจว่าได้ปิดใช้งานการตั้งค่า Symlinks ... การตั้งค่าหากเปิดใช้งานจะแทนที่การตั้งค่าไฟล์การกำหนดค่าและการเปลี่ยนแปลงจะต้องแก้ไขฐานข้อมูลโดยตรง

แต่ฉันใช้modmanเพื่อจัดการโมดูลและเนื่องจากบางโมดูลกำลังใช้ไฟล์เทมเพลตการตั้งค่า Symlinks จะเปิดใช้งานตามคำแนะนำใน README ของ modman การเปิดใช้งานการตั้งค่า Symlinks เป็นหนึ่งในโพสต์ใน Security Patch SUPEE-9767 - เป็นไปได้หรือไม่ แนะนำ (ฉันไม่สามารถแสดงความคิดเห็นในโพสต์ได้เนื่องจากฉันเป็นผู้ใช้ใหม่)?

ผู้ใช้ที่ใช้ modman เพื่อจัดการโมดูล Magento 1.x ควรตรวจสอบให้แน่ใจว่าพวกเขาไม่ได้ปิดการใช้งาน symlink เพราะจะเป็นการปิดการใช้งานโมดูล modman

หากฉันเปิดใช้งานการตั้งค่า Symlinks ไว้ร้านค้าจะไม่ปรากฏ APPSEC-1281: การเรียกใช้โค้ดจากระยะไกลผ่าน symlinkภัยคุกคามความปลอดภัยที่แพตช์นี้มีไว้เพื่อแก้ไขหรือไม่

มีวิธีอื่นในการใช้ modman กับไฟล์เทมเพลตหลังจากแพทช์นี้หรือไม่? (ฉันรู้ว่าตัวเลือก "Mage / Core / Block / Template.php" รุ่นแพตช์ "ที่ README ของ modman กล่าวถึง แต่การปะแก้ไฟล์หลักดูเหมือนจะเป็นอันตราย)

นี่คือคำชี้แจงบางอย่างเกี่ยวกับการเปลี่ยนแปลงนี้:

ก่อนอื่นให้อ่านคำอธิบายของ Peter O'Callaghan สิ่งนี้จะทำให้คุณเข้าใจมากขึ้น: https://peterocallaghan.co.uk/2017/06/appsec-1281-dangerous-symlinks/

อีกหนึ่งการอ่านที่น่าสนใจคือการโพสต์นี้โดย Max Chadwick https://maxchadwick.xyz/blog/what-allow-symlinks-actually-does

การดัดแปลงนี้เป็นการเรียกเนื้อหาที่อัปโหลดได้ (เช่นภาพ) ผ่านคำสั่งเทมเพลต

ปัญหาที่เกี่ยวข้องกับ symlink นั้นจะใช้ประโยชน์ได้เฉพาะกับการเข้าถึงของผู้ดูแลระบบและ Magento ได้เพิ่มการป้องกันเพิ่มเติมเกี่ยวกับการอัพโหลดภาพ

โปรดทราบว่าพวกเขามีการป้องกันวิธีที่รู้จักในการใช้ประโยชน์นอกเหนือจากการตั้งค่าเอง

ดังนั้นหากคุณเข้าใจความเสี่ยงที่เกี่ยวข้องคุณสามารถเปิดใช้งาน symlink ได้

หากคุณต้องการเปิดใช้งานพวกเขาสำหรับการติดตั้งใหม่คุณสามารถเรียกใช้:

UPDATE core_config_data SET value = 1 WHERE path = "dev/template/allow_symlink";

ปัญหาไม่ได้ symlinks ../../../../../media/tmp/hahaha.pngปัญหาก็คือเส้นทางที่เข้าถึงได้ถึงระดับเช่น หากฉันผิดโปรดแจ้งให้ฉันทราบ "แก้ไขปัญหา" มีชื่อว่า "อนุญาตให้ symlinks" realpath()และช่วยให้คนพิการนี้การตรวจสอบซึ่งได้รับการดำเนินการโดยใช้ ในความคิดของฉันการแก้ไขที่ปลอดภัยมีประสิทธิภาพมากขึ้นและยังเข้ากันได้กับ symlink คือการใช้strpos($path, '..')และ / หรือเพื่อตรวจสอบว่าrealpath()ตรงกับไดเรกทอรีที่มีความเสี่ยงเช่นmediaและvarและหากมีการใช้งานเช่นนี้คุณไม่จำเป็นต้องกำหนดค่ามันสามารถเปิดใช้งานได้ตลอดเวลาและยังไม่ทำลายร้านค้านับพัน

ไม่ว่าผู้ใช้เว็บเซิร์ฟเวอร์ของคุณไม่ควรมีสิทธิ์เข้าถึงการเขียนไฟล์ในไดเรกทอรีซอร์สโค้ด (เช่น Magento Connect ทำ ... ) ดังนั้นจึงเป็นอีกวิธีหนึ่งในการป้องกันไม่ให้มีการเขียนโค้ดที่เป็นอันตรายและดำเนินการเป็นเทมเพลตบล็อก

ดังนั้นการโจมตีบน symlink นี้จึงผิดพลาดและมีการแก้ไขที่ดีกว่า ในความเป็นจริงฉันให้หนึ่งปีที่ผ่านมาและยังมีลิงก์ไปยัง modman github README

หากในไฟล์พิเศษของนักแต่งเพลงของคุณคุณตั้งค่า magento-deploystrategy เพื่อคัดลอกไฟล์ของคุณจะถูกคัดลอกจากโฟลเดอร์ผู้จัดจำหน่ายมากกว่า Symlinks

    "extra":{
        "magento-root-dir":"./",
        "magento-deploystrategy":"copy",
        "magento-force": true
    }

จากนั้นคุณสามารถแก้ไข core_config_data ของคุณเพื่อตั้งค่าของ dev / template / allow_symlink เป็น 0

ทรัพยากรสำหรับข้อมูล

มีวิธีอื่นในการใช้ modman กับไฟล์เทมเพลตหลังจากแพทช์นี้หรือไม่?

คุณสามารถแทนที่ SUPEE-9767 การเปลี่ยนแปลงในรูปแบบต่างๆดู:

วิธีการเปิดใช้งาน symlink หลังจากติดตั้ง SUPEE-9767 V2