Исправление безопасности Magento SUPEE-6482, что исправлено?

Сегодня, 04.08.2015, было выпущено новое исправление безопасности, некоторые коллеги и я проверяли исправление, и всегда приятно обсудить, что изменилось, а также кто-нибудь знает, какие возможные атаки могут повлиять и отремонтировать магазин? Что самое худшее, что могло случиться?

Обновление: я просто хотел добавить электронное письмо, отправленное сегодня, чтобы завершить публикацию.

Фактическое исправление безопасности ( SUPEE-6482 ) затрагивает только два следующих файла и является исправлением API.

app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
app/code/core/Mage/Catalog/Model/Product/Api/V2.php

Полная установка 1.9.2.1 - это совсем другое дело. Я бы различал исходный код между 1.9.2.0 и 1.9.2.1, чтобы выяснить два других элемента, которые были исправлены.

Примечания к выпуску предназначены для полной установки, вы должны проверить исправление, чтобы увидеть, включает ли оно все элементы, отмеченные в примечаниях к выпуску.

Последствия запуска непатчированного сервера:

1. Межсайтовый скриптинг с использованием непроверенных заголовков => Отравление кэша
2. Включение автозагрузки файлов в Magento SOAP API => Удаленная автозагрузка кода
3. XSS в поиске реестра подарков => кража файлов cookie и олицетворение пользователя
4. Уязвимость SSRF в файле WSDL => утечка внутренней информации о сервере и включение удаленного файла

ПРИМЕЧАНИЕ. Файлы, исправленные в архиве полной установки, которые не были исправлены с помощью исправления, а?

diff -r magento-1920/app/code/core/Mage/Core/Controller/Request/Http.php magento-1921/app/code/core/Mage/Core/Controller/Request/Http.php
300a301
>         $host = $_SERVER['HTTP_HOST'];
302,303c303,304
<             $host = explode(':', $_SERVER['HTTP_HOST']);
<             return $host[0];
---
>             $hostParts = explode(':', $_SERVER['HTTP_HOST']);
>             $host =  $hostParts[0];
305c306,313
<         return $_SERVER['HTTP_HOST'];
---
> 
>         if (strpos($host, ',') !== false || strpos($host, ';') !== false) {
>             $response = new Zend_Controller_Response_Http();
>             $response->setHttpResponseCode(400)->sendHeaders();
>             exit();
>         }
> 
>         return $host;

diff -r magento-1920/app/design/frontend/base/default/template/page/js/cookie.phtml magento-1921/app/design/frontend/base/default/template/page/js/cookie.phtml
37,38c37,38
< Mage.Cookies.path     = '<?php echo $this->getPath()?>';
< Mage.Cookies.domain   = '<?php echo $this->getDomain()?>';
---
> Mage.Cookies.path     = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getPath()) ?>';
> Mage.Cookies.domain   = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getDomain()) ?>';

Я пристально смотрю на изменения в деталях и какие побочные эффекты ожидать.

В версии для EE 1.13.1.0 изменены следующие файлы:

2015-08-05 07:14:25 UTC | SUPEE-6482_EE_1.13.1.0 | EE_1.13.1.0 | v2 | 7e38036f94f250514fcc11d066a43c9bdb6a3723 | Tue Jul 28 14:29:35 2015 +0300 | v1.13.1.0..HEAD
patching file app/code/core/Enterprise/PageCache/Model/Processor.php
patching file app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
patching file app/code/core/Mage/Catalog/Model/Product/Api/V2.php
patching file app/code/core/Mage/Core/Controller/Request/Http.php
Hunk #1 succeeded at 294 (offset 7 lines).
patching file app/design/frontend/base/default/template/page/js/cookie.phtml
patching file app/design/frontend/enterprise/default/template/giftregistry/search/form.phtml

• В Adapter/Soap.php, urlencoding добавляется в данные аутентификации. Это не должно иметь негативных побочных эффектов. Это гарантирует, что результат wsdlUrlявляется действительным. Без этого изменения можно было бы повлиять на URL
• Product/Api/V2.phpВот некоторые проверки, если переданные данные являются объектом. Это не должно происходить при нормальных обстоятельствах.
• в Request/Http.phpи PageCache/Model/Processor.phpпроверка добавляется при получении HTTP HOST. Это, кажется, покрывает упомянутые инъекции заголовка. Проверка применяется только при наличии ;или ,в узле HTTP, поэтому это должно быть некритично в реальных системах / не иметь отрицательных побочных эффектов.
• в cookie.phtmlпобег добавляется. Так что это должно быть перенесено вперед в вашу тему, если вы перезаписали этот файл
• похоже на giftregistry/search/form.phtml

Подводя итог, я бы сказал, что применение патча не должно иметь негативных побочных эффектов. Не забудьте перенести изменения в ваши .phtmlфайлы.

Странно то, что патч EE содержит модификации следующих файлов:

app/code/core/Mage/Core/Controller/Request/Http.php
app/design/frontend/base/default/template/page/js/cookie.phtml

Когда CE нет, для эквивалентной версии.

Я полагаю, что в этой SUPEE-6482версии CE чего-то не хватает , и скоро может быть выпущен V2.

Патч релиза Magento SUPEE-6482 для исправления нижеприведенной проблемы в редакции CE & EE

Для Magento Community Edition:

• Автозагрузка файловых включений в Magento SOAP API
• Уязвимость SSRF в файле WSDL

Для Magento Enterprise Edition

• Автозагрузка файловых включений в Magento SOAP API
• Уязвимость SSRF в файле WSDL
• Межсайтовый скриптинг с использованием непроверенных заголовков

XSS в поиске реестра подарков

Делать изменения в классе

• Mage_Api_Model_Server_Adapter_Soap

• Mage_Catalog_Model_Product_Api_V2

Изменения в Mage_Api_Model_Server_Adapter_Soap

             : $urlModel->getUrl('*/*/*');

         if ( $withAuth ) {
-            $phpAuthUser = $this->getController()->getRequest()->getServer('PHP_AUTH_USER', false);
-            $phpAuthPw = $this->getController()->getRequest()->getServer('PHP_AUTH_PW', false);
-            $scheme = $this->getController()->getRequest()->getScheme();
+            $phpAuthUser = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_USER', false));
+            $phpAuthPw = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_PW', false));
+            $scheme = rawurlencode($this->getController()->getRequest()->getScheme());

             if ($phpAuthUser && $phpAuthPw) {
                 $wsdlUrl = sprintf("%s://%s:%s@%s", $scheme, $phpAuthUser, $phpAuthPw,

изменить в Mage_Catalog_Model_Product_Api_V2

     public function create($type, $set, $sku, $productData, $store = null)
     {
-        if (!$type || !$set || !$sku) {
+        if (!$type || !$set || !$sku || !is_object($productData)) {
             $this->_fault('data_invalid');
         }

@@ -243,6 +243,9 @@ class Mage_Catalog_Model_Product_Api_V2 extends Mage_Catalog_Model_Product_Api
      */
     protected function _prepareDataForSave ($product, $productData)
     {
+        if (!is_object($productData)) {
+            $this->_fault('data_invalid');
+        }
         if (property_exists($productData, 'website_ids') && is_array($productData->website_ids)) {
             $product->setWebsiteIds($productData->website_ids);
         }

Смотрите больше на: http://www.amitbera.com/magento-security-patch-supee-6482/

Пожалуйста, прочтите документацию Magento по этому выпуску, ответ там: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/release-notes-ce-1.9.2.1.html

Этот патч, как и другие последние патчи, содержит множество исправлений копирования, лицензий и опечаток. Это также вводит несколько опечаток из того, что я видел.

Фактическая часть исправления безопасности, по-видимому, предназначена для очистки входных данных пользователя для 4 различных потенциальных атак.