ในระยะสั้นใช่ CE 1.7 ยังคงมีความเสี่ยงต่อการโจมตีเฉพาะเหล่านั้นเนื่องจากยังไม่มีการปล่อยการรักษาความปลอดภัยซึ่งมีโปรแกรมปะแก้
ในกรณีหลังหนึ่งการโจมตีการตรึงเซสชั่นการเปลี่ยนแปลงคือการอัพเกรดในการปฏิบัติด้านความปลอดภัยที่วีโอไอพีได้ใช้เพื่อให้สอดคล้องกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในปัจจุบัน ไม่ใช่สิ่งที่น่าจะได้รับการออกให้กับ CE 1.7 หากพวกเขาทำการแก้ไขด้วยการแก้ไข CSRF
คำถามจริงคืออะไรช่องโหว่ CSRF เหล่านี้ที่ได้รับการแก้ไขอย่างแน่นอนคืออะไร? ไม่ต้องสงสัยเลยว่าสิ่งที่ดีที่พวกเขาไม่ได้มีเฉพาะในบันทึกย่อประจำรุ่นจึงเป็นอันตรายต่อการเผยแพร่ก่อนหน้านี้ทั้งหมด
ปรับปรุง # 1:
เมื่อถึง Magento เพื่อค้นหาว่าพวกเขาจะออกแพตช์สำหรับช่องโหว่ข้างต้นฉันได้รับคำตอบต่อไปนี้:
ให้เวลาฉันค้นคว้าเพิ่มเติมต่อไป ฉันไม่แน่ใจว่ามีโปรแกรมแก้ไขสำหรับสองรายการนี้หรือไม่เนื่องจากมีการระบุไว้ในระบบของเราว่าเป็นการปรับปรุงผลิตภัณฑ์และไม่เป็นข้อบกพร่อง ฉันจะอัปเดตคุณเมื่อฉันได้รับข้อมูลเพิ่มเติม
ฉันจะโพสต์รายละเอียดเพิ่มเติมที่นี่ในขณะที่ฉันรับพวกเขาและจะพยายามอย่างเต็มที่เพื่อรับแพทช์ที่ออกเนื่องจากดูเหมือนว่าขณะนี้ยังไม่มีแพตช์อยู่
UPDATE # 2:หลังจากกลับไปกลับมากับทีมสนับสนุนฉันสามารถรับ patch ที่เหมาะสมสำหรับ Magento EE 1.12.0.2 ไม่มีการออกแพทช์สำหรับ Magento CE 1.7.0.2 และเท่าที่ช่างเทคนิคที่ตรวจสอบภายในสำหรับฉันรู้ไม่มีแผนการที่จะปล่อยแพทช์อย่างเป็นทางการสำหรับ CE 1.7.x แทนที่จะแก้ไขปัญหาเฉพาะใน CE 1.8 ที่กำลังจะมาถึง ปล่อยมั่นคง
สำหรับไฟล์แก้ไขเฉพาะของ EE ฉันไม่สามารถโพสต์ได้ (หรือเครื่องมือแอปพลิเคชันเครื่องมือแก้ไข) ที่นี่โดยตรงเพราะสงสัยว่าจะเป็นการละเมิด NDA ระหว่าง Magento และตัวฉันเองและ บริษัท ที่ฉันทำงานอยู่ ชื่อของแพทช์ที่เกี่ยวข้องคือ: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - หากคุณมี Enterprise Edition หรือลูกค้าที่ใช้มันคุณควรจะสามารถขอแพตช์นี้จากทีมสนับสนุน Magento พร้อมด้วยหมายเหตุเกี่ยวกับ ช่องโหว่ CSRF ที่ควรแก้ไข
สำหรับผู้ใช้ CE 1.7.0.2 ฉันมีอิสระในการสร้างไฟล์แพทช์ (ขึ้นอยู่กับแพตช์ของ Magento) ซึ่งมีเฉพาะโค้ดที่เปลี่ยนไฟล์หลักของ Magento CE 1.7.0.2 ตามปกติแล้วจะรวมถึงบิตที่ไม่เกี่ยวข้องของความคิดเห็นที่เพิ่มเข้ามาและการจัดรูปแบบที่ปรับเปลี่ยนพร้อมกับการเปลี่ยนแปลงรหัสที่เกี่ยวข้อง การสร้างสิ่งนี้จำเป็นต้องแก้ไขแพตช์ดั้งเดิมด้วยตนเองเพื่อใช้มันโดยใช้เครื่องมือการใช้แพทช์ที่มีให้จากนั้นใช้ git เพื่อสร้างแพทช์ขึ้นอยู่กับการเปลี่ยนแปลงที่นำไปใช้
ไฟล์ดาวน์โหลดที่ฉันสร้างขึ้นสามารถดาวน์โหลดได้จากกระทู้นี้: https://gist.github.com/davidalger/5938568
หากต้องการใช้โปรแกรมปะแก้ให้ใส่ซีดีชุดแรกลงในรูทของการติดตั้ง Magento และเรียกใช้คำสั่งต่อไปนี้: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
แพตช์เฉพาะ EE รวมถึงการตรวจสอบความถูกต้องของแบบฟอร์มเพื่อตรวจสอบตัวควบคุมเฉพาะขององค์กรการแก้ไขไฟล์ขององค์กร / ค่าเริ่มต้นและไฟล์เท็มเพลต enterprise / iphone เพื่อรวมคีย์แบบฟอร์มในแบบฟอร์มที่ใช้สำหรับการดำเนินการควบคุม การส่งคีย์ฟอร์มไปมาบนหน้าแคช
การปฏิเสธความรับผิด:ฉันไม่ได้ทดสอบทั้งแพทช์ EE ที่จัดทำโดย Magento หรือแพทช์ที่ฉันอัปโหลดไปยังส่วนสำคัญที่เชื่อมโยง โปรแกรมแก้ไขที่ให้ไว้ในส่วนสำคัญที่อ้างอิงมาพร้อมกับไม่มีการรับประกันและอาจแก้ไขหรือไม่แก้ไขช่องโหว่ที่อ้างถึงในบันทึกประจำรุ่น CE 1.8 ในฐานะที่เป็นแพทช์ที่ยังไม่ทดลองยังไม่มีการรับประกันว่ามันจะทำงานได้ทั้งหมดหรือบางส่วน ฉันใช้ความเสี่ยงของคุณเองและใช้ความขยันเนื่องจากการทดสอบก่อนที่จะปรับใช้กับสภาพแวดล้อมการผลิต หากคุณพบปัญหาเกี่ยวกับแพตช์แจ้งให้เราทราบและฉันจะอัปเดต