วิธีตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัย SUPEE-6788

เมื่อวันที่ 27 ตุลาคม 2558 Magento ได้เปิดตัวแพตช์รักษาความปลอดภัย SUPEE-6788 ตามรายละเอียดทางเทคนิค 4 APPSEC ที่ได้รับการแก้ไขจำเป็นต้องมีการทำงานซ้ำในโมดูลท้องถิ่นและชุมชน:

• APPSEC-1034, การจัดการกับการข้าม URL ของผู้ดูแลระบบที่กำหนดเอง (ถูกปิดใช้งานโดยค่าเริ่มต้น)
• APPSEC-1063, แก้ไขการฉีด SQL ที่เป็นไปได้
• APPSEC-1057 วิธีการประมวลผลแม่แบบช่วยให้เข้าถึงข้อมูลส่วนตัว
• APPSEC-1079, จัดการกับการหาประโยชน์ที่อาจเกิดขึ้นกับประเภทไฟล์ตัวเลือกที่กำหนดเอง

ฉันสงสัยว่าจะตรวจสอบว่าโมดูลใดได้รับผลกระทบจากแพตช์ความปลอดภัยนี้

ฉันคิดวิธีแก้ปัญหาบางส่วนต่อไปนี้:

• APPSEC-1034: ค้นหา<use>admin</use>ใน config.xml ของโมดูลโลคัลและชุมชนทั้งหมด ฉันคิดว่านี่น่าจะเป็นรายการโมดูลทั้งหมดที่ได้รับผลกระทบจากปัญหานี้
• APPSEC-1063: ค้นหาaddFieldToFilter('(และaddFieldToFilter('`ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชน สิ่งนี้ไม่สมบูรณ์เนื่องจากยังสามารถใช้ตัวแปรได้
• APPSEC-1057: ค้นหา{{config path=และ{{block type=ในไฟล์ PHP ทั้งหมดของโมดูลโลคัลและชุมชนและกรององค์ประกอบทั้งหมดจากรายการที่อนุญาต สิ่งนี้ไม่สมบูรณ์เนื่องจากไม่มีตัวแปรเทมเพลตใด ๆ ที่เพิ่มโดยผู้ดูแลระบบ
• APPSEC-1079: ไม่คิด

นอกจากนี้ยังมีรายการส่วนขยายที่มีช่องโหว่สำหรับ APPSEC-1034 และ APPSEC-1063 ที่รวบรวมโดยPeter Jaap Blaakmeer

SUPEE-6788 ออกแล้วและการเปลี่ยนเส้นทางของผู้ดูแลระบบจะถูกปิดโดยปริยาย ซึ่งหมายความว่าโปรแกรมแก้ไขมีการแก้ไข แต่จะถูกปิดใช้งานเมื่อติดตั้ง วิธีนี้จะช่วยให้คุณมีเวลาเพิ่มเติมในการอัปเดตรหัสของคุณและทำให้ผู้ค้ามีความยืดหยุ่นในการเปิดส่วนนี้ของแพตช์เมื่อส่วนขยายและการปรับแต่งของพวกเขาได้รับการปรับปรุงเพื่อให้ทำงานได้

สำหรับเปิดใช้งานความสามารถในการกำหนดเส้นทางผู้ดูแลระบบสำหรับส่วนขยายหลังจากติดตั้งพา ธ ไปที่ผู้ดูแลระบบ -> ขั้นสูง -> ผู้ดูแลระบบ -> ความปลอดภัย

Magento CE 1.4-1.6 ซอฟต์แวร์แก้ไขล่าช้าและควรจะให้บริการในประมาณหนึ่งสัปดาห์!

รายการทรัพยากร SUPEE-6788

• รายละเอียดอย่างเป็นทางการและดาวน์โหลด SUPEE-6788 - http://magento.com/security/patches/supee-6788 & https://www.magentocommerce.com/download

• วิธีใช้การสนทนา SUPEE-6788 พร้อมเคล็ดลับที่มีประโยชน์ - https://magento.meta.stackexchange.com/a/734/2282

• ติดตั้ง SUPEE-6788 โดยไม่ใช้ SSH - https://magentary.com/kb/install-supee-6788-without-ssh/

• SUPEE-6788 สำหรับ CE 1.7.0.1 - 1.9.2.1 บน GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• SUPEE-6788 สำหรับ EE 1.12.x - 1.14.x บน GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788 และความเข้ากันได้แบบย้อนหลัง - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• ชุมชนขับเคลื่อนรายการส่วนขยายที่ทันสมัยซึ่งจะแตกหักด้วย SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/html ดูที่ GID = 0

• Magerun ที่เป็นประโยชน์สั่งให้ https://github.com/peterjaap/magerun-addons

  • n98-magerun dev: template-var - ค้นหา vars / blocks ที่ไม่ใช่รายการที่อนุญาตพิเศษเพื่อให้เข้ากันได้กับ SUPEE-6788 และ Magento 1.9.2.2
  • n98-magerun.phar dev: old-admin-routing - ค้นหาส่วนขยายที่ใช้การกำหนดเส้นทาง admin แบบเก่า (ซึ่งไม่รองรับ SUPEE-6788 และ Magento 1.9.2.2)

• ตรวจสอบว่าร้านค้าถูกแก้ไข / ได้รับผลกระทบ - https://www.magereport.com/

• บล็อกที่กำหนดเองบางส่วนในหน้าแรกได้หายไปหลังจากการติดตั้งโปรแกรมปะแก้ - APPSEC-1057 วิธีเพิ่มตัวแปรหรือบล็อกในตารางรายการสีขาว & https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-กำหนดเองบล็อกปัญหา /

• Magento SUPEE-6788 Developer Toolbox - ค้นหาและแก้ไขปัญหาที่สำคัญโดยอัตโนมัติจากแพทช์ https://github.com/rhoerr/supee-6788-toolbox

• MageDownload CLI - เครื่องมือ PHP เพื่อทำการดาวน์โหลด Magento และแพทช์อัตโนมัติโดยอัตโนมัติ - https://github.com/steverobbins/magedownload-cli

• วิธีอนุญาตแม่แบบตัวแปรและบล็อกเทมเพลตสำหรับ SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• ตรวจสอบไฟล์ Magento สำหรับรหัสที่รู้จัก appsec - https://github.com/Schrank/magento-appsec-file-check

• ปัญหาทั่วไปเกี่ยวกับการติดตั้ง Patch SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• การปรับปรุงประสิทธิภาพสำหรับ Magento Patch SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , รายละเอียด - http://www.magecore.com/blog / ข่าว / ประสิทธิภาพประเด็นวีโอไอพีรักษาความปลอดภัยแพทช์สุภี-6788

ตามแนวความคิดเห็นอื่น ๆ เกี่ยวกับการตรวจสอบความขัดแย้งเราที่ ParadoxLabs ได้สร้างสคริปต์เพื่อติดตามทุกสิ่งที่ได้รับผลกระทบจาก APPSEC-1034 (ผู้ควบคุมระบบผู้ดูแลระบบ) และ APPSEC-1057 (รายการที่อนุญาต) นอกจากนี้ยังจะพยายามแก้ไขตัวควบคุมที่ไม่ถูกต้องเนื่องจากเป็นการเปลี่ยนแปลงที่แม่นยำและเป็นธรรม

มันไม่ครอบคลุม APPSEC-1063 (การฉีด SQL) หรือ APPSEC-1079 (ตัวเลือกที่กำหนดเอง) แต่มันจะดีถ้ามันทำได้ ไม่แน่ใจว่าจะตรวจจับสิ่งเหล่านั้นด้วยความแม่นยำใด ๆ เราเปิดให้มีส่วนร่วม

https://github.com/rhoerr/supee-6788-toolbox

สคริปต์ PHP นี้อาจมีประโยชน์ในการระบุรหัสวีโอไอพีที่ได้รับผลกระทบจากแพทช์ SUPEE-6788 ที่เสนอ

นี่เป็นการตรวจสอบความปลอดภัยที่ไม่สามารถป้องกันได้สำหรับแพทช์นี้ แต่อาจเป็นประโยชน์ในการสแกนการติดตั้งของคุณอย่างรวดเร็วสำหรับโมดูลและโค้ดที่ได้รับผลกระทบ

ติดตั้งสคริปต์ด้วย

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

แก้ไขเส้นทางไปยังการติดตั้ง Magento ของคุณ

$_magentoPath='/home/www/magento/';

วิ่ง

php magento_appsec_file_check.php

ไฟล์ที่ได้รับผลกระทบจะปรากฏขึ้น:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

สคริปต์ใช้ grep เพื่อค้นหาไฟล์วีโอไอพีสำหรับการเกิดขึ้นของรหัสที่อาจแบ่งความเข้ากันได้แบบย้อนกลับกับการปรับแต่งหรือส่วนขยายเมื่อใช้ SUPEE-6788

มีรายการขนาดใหญ่พร้อมใช้งานกับส่วนขยายทั้งหมดที่จะหยุดกับ SUPEE-6788

ข้อมูลเพิ่มเติมที่นี่: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

รายการของตัวแปรที่อนุญาตซึ่งสามารถประมวลผลผ่านตัวกรองเนื้อหานั้นใหญ่กว่าที่แสดงใน PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(ฉันได้เพิ่ม+ก่อนหน้าตัวแปรที่ไม่ได้อธิบายไว้ใน PDF)

บล็อกที่อนุญาตที่สามารถประมวลผลผ่านตัวกรองเนื้อหาคือ:

core/template
catalog/product_new