Security Patch SUPEE-11086 - ปัญหาที่เป็นไปได้หรือไม่

Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2

รีลีสเหล่านี้รวมถึงการแก้ไขด้านความปลอดภัยที่สำคัญ "เราขอแนะนำอย่างยิ่งให้ร้านค้าทั้งหมดอัพเกรดโดยเร็วที่สุด"

ฉันควรระวังปัญหาอะไรบ้างเมื่ออัปเกรดหรือใช้งานโปรแกรมแก้ไขนี้

สุภี-11086

SUPEE-11086, Magento Commerce 1.14.4.1 และ Open Source 1.9.4.1 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการเรียกใช้รหัสระยะไกล (RCE) การเขียนสคริปต์ข้ามไซต์ (XSS) การปลอมแปลงคำขอข้ามไซต์ (CSRF) และช่องโหว่อื่น ๆ

Magento 2.3.1, 2.2.8 และ 2.1.17 ปรับปรุงความปลอดภัย

รุ่นเหล่านี้มีการปรับปรุงการทำงานและความปลอดภัยหลายอย่าง ความเสี่ยง: สำคัญสำหรับ Magento Commerce และ Magento Open Source ก่อน 2.1.17, 2.2.8 และ 2.3.1

ปัญหาที่ใหญ่ที่สุดซึ่งพบ: Mage::log()ทำงานไม่ถูกต้อง หากคุณเรียกใช้ฟังก์ชันนี้พร้อมกับไฟล์บันทึกที่กำหนดเอง (และยังไม่มี) บันทึกจะไม่ถูกเขียนไปยังไฟล์เนื่องจากมีการตรวจสอบเพิ่มเติมเพิ่มเติมใน SUPEE-11086

สำคัญ: ชื่อแพ็ตช์รวมเวอร์ชันสูงสุดที่แพตช์ใช้ ดังนั้นโปรแกรมแก้ไขสำหรับ 1.9.3.10 จะใช้กับ 1.9.3.10, 1.9.3.9, .... ลงไปที่โปรแกรมแก้ไขอื่น เราจะพยายามปรับปรุงการตั้งชื่อในรุ่นถัดไปและคุณสามารถใช้https://github.com/steverobbins/magedownload-cliตามที่ควรเห็นเวอร์ชันข้อมูลเมตาอย่างถูกต้องผ่าน API

เช่นเดียวกับคนอื่น ๆ ฉันมีไฟล์บันทึกอย่างสมบูรณ์หยุดเขียนข้อมูล

แหล่งที่มาของข้อผิดพลาด - ไฟล์บันทึกไม่ได้เขียนข้อมูล

ในapp/Mage.phpพวกเขาทำการเปลี่ยนแปลงนี้:

         // Validate file extension before save. Allowed file extensions: log, txt, html, csv
         -        if (!self::helper('log')->isLogFileExtensionValid($file)) {
         +        $_allowedFileExtensions = explode(
         +            ',',
         +            (string) self::getConfig()->getNode('dev/log/allowedFileExtensions', Mage_Core_Model_Store::DEFAULT_CODE)
         +        );
         +        $logValidator = new Zend_Validate_File_Extension($_allowedFileExtensions);
         +        $logDir = self::getBaseDir('var') . DS . 'log';
         +        if (!$logValidator->isValid($logDir . DS . $file)) {
                 return;
             }

ซึ่งกำลังมองหาการกำหนดค่าสำหรับรายการนามสกุลไฟล์ที่ได้รับอนุมัติ พวกเขาไม่ได้เพิ่มรายการนี้ในการกำหนดค่า - ไม่ใช่แม้แต่ตัวเลือกใน Mage Admin สำหรับเราในการกำหนดค่าด้วยตัวเราเอง

วิธีแก้ไขข้อผิดพลาด - ไฟล์บันทึกไม่ได้เขียนข้อมูล

ในการแก้ปัญหานี้ให้ป้อนข้อมูลลงในฐานข้อมูลในcore_config_dataตาราง

INSERT INTO core_config_data VALUES ( NULL, 'default', 0, 'dev/log/allowedFileExtensions', 'log,txt,html,csv' );

ล้างแคชวัตถุด้วยและคุณควรเห็นการเขียนข้อมูลไปยังไฟล์บันทึกอีกครั้ง

ls -lrt var/log/ | tail

สำหรับการอ้างอิงปัญหานี้เกิดขึ้นกับ EE 1.14.2.0 โดยมีการใช้โปรแกรมแก้ไขเพื่อความปลอดภัยทั้งหมด

ฉันเปิดตั๋วพร้อมการสนับสนุน Magento ในประเด็นนี้ แต่ยังไม่ได้รับการตอบกลับจากช่างเทคนิค ฉันอยู่ในคิว

สิ่งที่ทำให้ฉันสับสนเกี่ยวกับข้อผิดพลาดนี้คือ Magento มีวิธีการตรวจสอบความถูกต้องของนามสกุลไฟล์บันทึกที่เพิ่มผ่าน SUPEE-10415 ในปลายปี 2560

app/code/core/Mage/Log/Helper/Data.php

    /**
     * Checking if file extensions is allowed. If passed then return true.
     *
     * @param $file
     * @return bool
     */
    public function isLogFileExtensionValid($file)
    {
        $result = false;
        $validatedFileExtension = pathinfo($file, PATHINFO_EXTENSION);
        if ($validatedFileExtension && in_array($validatedFileExtension, $this->_allowedFileExtensions)) {
            $result = true;
        }

        return $result;
    }

เหตุใดพวกเขาจึงไม่ใช้ตรรกะนั้นซ้ำแทนที่จะพยายามล็อกล้อข้อมูลที่ไม่สมบูรณ์ใหม่

Mage::log()ไม่สามารถเขียนข้อมูลใด ๆ ลงในล็อกไฟล์หากไม่มีอยู่ในตอนแรก นี้เกิดจากการisValidทำงานของการขว้างปาข้อผิดพลาดไม่พบเมื่อโทรZend_Validate_File_Extension Zend_Loader::isReadable($value)ฉันได้แก้ไขสิ่งนี้ชั่วคราวโดยการย้ายisValidไปลอง / จับหลังจากสร้างไฟล์บันทึกแล้วจากนั้นลบไฟล์หากการตรวจสอบล้มเหลว:

<?php
final class Mage
{
    ...
    public static function log($message, $level = null, $file = '', $forceLog = false)
    {
        ...

        try {
            if (!isset($loggers[$file])) {
                $logFile = $logDir . DS . $file;

                if (!is_dir($logDir)) {
                    mkdir($logDir);
                    chmod($logDir, 0750);
                }

                if (!file_exists($logFile)) {
                    file_put_contents($logFile, '');
                    chmod($logFile, 0640);
                }

                if (!$logValidator->isValid($logFile)) {
                    unlink($logFile);

                    return;
                }

        ...
    }
}

นี่เป็นวิธีแก้ปัญหาชั่วคราวจนกว่าเราจะมีอะไรที่แข็งกว่านี้อีกเล็กน้อย

ปัญหาที่เป็นไปได้กับการแก้ไข 1.9.3.10

checking file app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
Hunk #1 FAILED at 57.
1 out of 1 hunk FAILED

ในแพทช์เรามี:

diff --git app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
index 8d3c526c280..fde2ef0d45d 100644
--- app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
+++ app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
@@ -57,7 +57,7 @@ class Mage_Adminhtml_Block_Customer_Group_Edit extends Mage_Adminhtml_Block_Widg
                 'form_key' => Mage::getSingleton('core/session')->getFormKey()
             ));
         } else {
-            parent::getDeleteUrl();
+            return parent::getDeleteUrl();
         }
     }

อย่างไรก็ตามการดูรหัสใน 1.9.3.10 (ผ่าน mage LTS) ฉันไม่เห็นรหัสดังกล่าว:

https://github.com/OpenMage/magento-lts/blob/1.9.3.x/app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php

แต่มันมีอยู่สำหรับ 1.9.4

https://github.com/OpenMage/magento-lts/blob/1.9.4.x/app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php

สาเหตุที่เป็นไปได้คือชุดข้อมูลแก้ไขที่หายไปซึ่งไม่ได้นำไปใช้ก่อนหน้านี้

กำลังพยายามติดตั้งโปรแกรมแก้ไขบน Magento 1.9.0.1 โดยใช้ PATCH_SUPEE-11086_CE_1.9.1.0_v1-2019-03-26-03-03-13.sh ฉันได้พบข้อผิดพลาดนี้

Hunk #1 FAILED at 141.
1 out of 1 hunk FAILED

ฉันแก้ไขได้โดยลบรหัสต่อไปนี้ออกจาก 'app / etc / config.xml' แล้วเรียกใช้ตัวแก้ไขอีกครั้ง

<dev>
    <template>
        <allow_symlink>0</allow_symlink>
    </template>
</dev>

ฉันยังสับสนเล็กน้อยเกี่ยวกับการตั้งชื่อสำหรับแพทช์ M1

สำหรับแพทช์เก่าที่พวกเขาตั้งชื่อให้พวกเขาชอบSUPEE-10975 for CE 1.9.3.4-1.9.3.10หรือแต่ตอนนี้มันเป็นเพียงที่อยู่รุ่นหนึ่งSUPEE-10888 for CE 1.9.2.0-1.9.2.4 (0.07 MB)PATCH_SUPEE-11086_CE_1.9.3.10_v1.sh

แพทช์ปัจจุบันเป็นที่อยู่สำหรับทุกรุ่นของรุ่นย่อยหรือเฉพาะรุ่นล่าสุดหรือไม่?

ฉันทำการทดสอบกับร้านค้า 1.9.3.1 และทุกอย่างผ่านไปแล้ว แต่ฉันไม่แน่ใจว่ามันถูกต้องสำหรับรุ่นอื่นหรือไม่

การหยุดการบันทึกใน Magento 1.9 หากต้องการแก้ไขการบันทึกในแพตช์ SUPEE-11086:

ในแอพ / Mage.php:

-        $logValidator = new Zend_Validate_File_Extension($_allowedFileExtensions);
         $logDir = self::getBaseDir('var') . DS . 'log';
-        if (!$logValidator->isValid($logDir . DS . $file)) {
+        $validatedFileExtension = pathinfo($file, PATHINFO_EXTENSION);
+        if (!$validatedFileExtension || !in_array($validatedFileExtension, $_allowedFileExtensions)) {

ทรัพยากร: https://gist.github.com/piotrekkaminski/0596cae2d25bf467edbd3d3f03ab9f8f

ฉันหวังว่านี่จะช่วยได้!

ไฟล์ PHP ใหม่ทั้งหมดในโปรแกรมแก้ไขสำหรับ M1 มีเทมเพลตที่ไม่ได้ประมวลผล

<?php
/**
 * {license_notice}
 *
 * @copyright   {copyright}
 * @license     {license_link}
 */

ไม่ใช่ปัญหา แต่ดูไม่ถูกต้อง ฉันมีความรู้สึกเดียวกันหลังจาก SUPEE-10975

ฉันพบว่ามีปัญหาเกี่ยวกับไฟล์บันทึกที่ไม่ได้ถูกสร้างขึ้นอีกต่อไปและจะถูกเขียนออกมาหากไฟล์ล็อกนั้นมีอยู่แล้ว ดูเหมือนว่าจะเกิดจากสาย:

if (!$logValidator->isValid($logDir . DS . $file)) {

จาก app / Mage.php ฉันแก้ไขสิ่งนี้โดยใช้ตรรกะแบบเก่า ดังนั้นแทนที่บรรทัดด้านบนด้วยสิ่งต่อไปนี้:

if (!self::helper('log')->isLogFileExtensionValid($file)) {

การตรวจสอบไฟล์แอป / รหัส / คอร์ / ผู้วิเศษ / ผู้ดูแลระบบ / บล็อก / ลูกค้า / กลุ่ม / Edit.php ก้อนใหญ่ # 1 ล้มเหลวที่ 57. 1 จาก 1 ก้อนใหญ่ล้มเหลว

ในโปรแกรมแก้ไข 10975 มีข้อผิดพลาด ณ จุดนี้ คำสั่งการส่งคืนหายไป บางทีคุณอาจแก้ไขข้อผิดพลาดนี้หลังจากใช้โปรแกรมแก้ไข 10975 หรือละเว้นการเปลี่ยนแปลง ข้อผิดพลาดได้รับการแก้ไขใน 11086 หากบรรทัดของโค้ดนี้ได้รับการปรับ / เพิกเฉยจากคุณแล้วมันจะส่งผลให้เกิดข้อผิดพลาดที่คุณอธิบายเมื่อใช้แพตช์ใหม่ หากคุณได้แก้ไขข้อผิดพลาดด้วยตัวเองแล้วเพียงแค่ลบบล็อกในไฟล์แพทช์และเรียกใช้โปรแกรมปะแก้อีกครั้ง

ใช้ SUPEE-11086 | CE_1.9.1.0 ตามที่ Ryan Hoerr แนะนำข้างต้น

สมัคร SUPEE-11086 | CE_1.9.1.0 | v1 | 3f120e6a795eed55267bd2b9164b3984913ddfc9 | ศ. 22 มี.ค. 18:40:11 2019 +0000 | 4f3f369e723fe31212cb5be9adda113f891d7f62..HEAD

ถึง CE_1.9.2.1

ฉันได้รับ Fail ในแต่ละไฟล์

ฉันใช้การแก้ไขกับ repos อื่นเรียบร้อยแล้ว

ไม่มีการแตะรหัสหลัก

รายการของแพทช์ที่ใช้

SUPEE-6788
SUPEE-7405-CE-1-9-2-2
SUPEE-7405 
SUPEE-8788 
SUPEE-9652 
SUPEE-8967 
PATCH_SUPEE-9767_CE_1.9.3.0_v2
SUPEE-10266-CE-1.9.2.4
SUPEE-10415-ce-1.9.2.1
SUPEE-10570_CE_v1.9.2.2
SUPEE-10570_CE_v1.9.2.2
SUPEE-10570_CE_v1.9.2.2
SUPEE-10752_CE_v1.9.2.4
SUPEE-10888_CE_v1.9.2.4
SUPEE-10975_CE_v1.9.3.3

ปัญหาของ M1.9.3.7 Patch PATCH_SUPEE-11086_CE_1.9.3.10_v1.sh

checking file app/Mage.php
checking file app/code/core/Mage/Admin/Model/Session.php
checking file app/code/core/Mage/Adminhtml/Block/Api/Buttons.php
checking file app/code/core/Mage/Adminhtml/Block/Catalog/Product/Edit.php
checking file app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php
Hunk #1 FAILED at 57.
1 out of 1 hunk FAILED
checking file app/code/core/Mage/Adminhtml/Block/Permissions/Buttons.php
checking file app/code/core/Mage/Adminhtml/Block/System/Design/Edit.php
checking file app/code/core/Mage/Adminhtml/Block/System/Store/Edit.php
checking file app/code/core/Mage/Adminhtml/Controller/Action.php
checking file app/code/core/Mage/Adminhtml/Helper/Data.php
checking file app/code/core/Mage/Adminhtml/Model/Email/PathValidator.php
checking file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #1 FAILED at 69.
1 out of 1 hunk FAILED

สามารถยืนยันปัญหาที่เกิดขึ้นได้เมื่อพยายามใช้SUPEE-11086กับเวอร์ชัน 1.9.1.1 ที่ดาวน์โหลดใหม่และได้รับการติดตั้งอย่างสมบูรณ์รวมถึงทุกอย่างจนถึงและรวมถึง Admin Dashboard Charts Patch -MPERF-10509-CE-2019-03-13-06-31-24.diff

โปรแกรมแก้ไขล้มเหลวในไฟล์ต่อไปนี้

app/code/core/Mage/Adminhtml/Block/Api/Buttons.php
app/code/core/Mage/Adminhtml/Block/Permissions/Buttons.php
app/code/core/Mage/Api2/Block/Adminhtml/Roles/Buttons.php

ไฟล์เหล่านี้ไม่มีการเปลี่ยนแปลงจากการกระทำเริ่มต้นของการดาวน์โหลด v1.9.1.1 การคัดลอกไฟล์จากการติดตั้ง 1.9.2.4 โดยใช้ SUPEE-11086 จากนั้นเปรียบเทียบกับแหล่งที่มา v1.9.4.1 ยืนยันว่าตอนนี้ตรงกัน

Magento v1.9.1.1 ดูเหมือนจะเป็นปัญหาเล็กน้อยสำหรับเด็ก ...

สามารถยืนยันปัญหาที่เกิดขึ้นได้เมื่อพยายามใช้SUPEE-11086กับเวอร์ชัน 1.9.3.0 ที่ดาวน์โหลดใหม่และได้รับการติดตั้งอย่างสมบูรณ์รวมถึงทุกอย่างจนถึงและรวมถึง Admin Dashboard Charts Patch -MPERF-10509-CE-2019-03-13-06-31-24.diff

การแก้ไขล้มเหลวใน app / config.xml เนื่องจากโหนดด้านล่างหายไป เพิ่มโหนดก่อนเรียกใช้ SUPEE-11086 ไม่มีปัญหา

<config>
    </default>
        <dev>
            <template>
                <allow_symlink>0</allow_symlink>
            </template>
        </dev>
    </default>
</config>

ฉันค้นพบปัญหาใหม่กับโมเดล Mage_Eav_Model_Attribute_Data_File

ในเอนทิตีของลูกค้าฉันได้เพิ่มแอตทริบิวต์การอัปโหลดไฟล์ ไม่จำเป็นต้องใช้คุณลักษณะเหล่านี้และเมื่อฉันต้องการลบไฟล์โดยไม่ต้องอัปโหลดใหม่การลบจะไม่ทำงานเนื่องจากค่าแอตทริบิวต์ไม่ได้รับการตรวจสอบผ่านวิธีการใหม่setAttributeValidationAsPassed()

การแก้ไขอย่างรวดเร็วที่ฉันทำอยู่ในวิธีการ validateValue($value)

if (!$attribute->getIsRequired() && !$toUpload) {
    $attribute->setAttributeValidationAsPassed(); // this new line is added 
    return true;
}

ดูเหมือนว่าปัญหานี้จะปรากฏใน Magento 1.x ทุกรุ่นตั้งแต่ SUPEE-11086

Magento 1.9.3.1

ปัญหาเกิดขึ้นเมื่อพยายามแก้ไข CE 1.9.3.1 โดยใช้ patch PATCH_SUPEE-11086_CE_1.9.3.10_v1.sh:

checking file app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
Hunk #1 FAILED at 69.
1 out of 1 hunk FAILED