Как проверить, на какие модули распространяется исправление безопасности SUPEE-6788

27 октября 2015 года Magento выпустила исправление безопасности SUPEE-6788. Согласно техническим деталям , 4 исправленных APPSEC требуют доработки в локальных и общественных модулях:

• APPSEC-1034, адресация в обход пользовательского URL администратора (по умолчанию отключена)
• APPSEC-1063, решение для возможного внедрения SQL
• APPSEC-1057, метод обработки шаблона позволяет получить доступ к личной информации
• APPSEC-1079, решение потенциального эксплойта с типом файла пользовательских опций

Мне было интересно, как проверить, какие модули затрагиваются этим патчем безопасности.

Я пришел к следующему частичному решению:

• APPSEC-1034: поиск <use>admin</use>в файле config.xml всех локальных модулей и модулей сообщества. Я думаю, что это должно перечислить все модули, затронутые этой проблемой.
• APPSEC-1063: поиск addFieldToFilter('(и addFieldToFilter('`во всех файлах PHP локальных и общественных модулей. Это неполно, поскольку переменные также могут быть использованы.
• APPSEC-1057: найдите {{config path=и {{block type=во всех файлах PHP локальных и общественных модулей и отфильтруйте все элементы из белого списка. Это неполно, поскольку не содержит никаких шаблонных переменных, добавленных администраторами.
• APPSEC-1079: понятия не имею.

Существует также список расширений , уязвимых для APPSEC-1034 и APPSEC-1063, составленный Питером Яапом Блакмиром.

SUPEE-6788 выпущен и изменения маршрутизации администратора отключены по умолчанию. Это означает, что исправление включает исправление, но оно будет отключено при установке. Это даст вам дополнительное время для обновления вашего кода и предоставит продавцам гибкость для включения этой части патча после того, как его расширения и настройки будут обновлены для работы с ним.

Для включения возможности маршрутизации администратора для расширений после установки перейдите в Admin -> Advanced -> Admin -> Security.

Патчи для Magento CE 1.4-1.6 задерживаются и должны появиться примерно через неделю!

SUPEE-6788 Список ресурсов

• Официальные данные и загрузка SUPEE-6788 - http://magento.com/security/patches/supee-6788 & https://www.magentocommerce.com/download

• Как применить обсуждение SUPEE-6788 с полезными советами - https://magento.meta.stackexchange.com/a/734/2282

• Установите SUPEE-6788 без SSH - https://magentary.com/kb/install-supee-6788-without-ssh/

• SUPEE-6788 для CE 1.7.0.1 - 1.9.2.1 на GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• SUPEE-6788 для EE 1.12.x - 1.14.x на GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788 и обратная совместимость - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• Сообщество обновило список расширений, которые порвутся с SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rs/=t=ru=ru GID = 0

• Полезные команды Magerun https://github.com/peterjaap/magerun-addons

  • n98-magerun dev: template-var - Найти не включенные в белый список переменные / блоки для совместимости с SUPEE-6788 и Magento 1.9.2.2
  • n98-magerun.phar dev: old-admin-routing - Найти расширения, которые используют административную маршрутизацию старого стиля (которая не совместима с SUPEE-6788 и Magento 1.9.2.2)

• Проверьте, исправлен ли магазин / затронут - https://www.magereport.com/

• Некоторые пользовательские блоки на главной странице исчезли после установки исправления - APPSEC-1057 Как добавить переменные или блоки в таблицы белого списка и https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-таможенно-блоки-вопрос /

• Magento SUPEE-6788 Developer Toolbox - поиск и автоматическое решение основных проблем из патча https://github.com/rhoerr/supee-6788-toolbox

• MageDownload CLI - инструмент PHP для автоматизации загрузки релизов и патчей Magento - https://github.com/steverobbins/magedownload-cli

• Как внести в белый список переменные и блоки шаблона для SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• Проверьте файлы Magento на наличие известного кода, затронутого appsec - https://github.com/Schrank/magento-appsec-file-check

• Общие проблемы с установкой патча SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• Улучшение производительности для Magento Patch SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , Подробности - http://www.magecore.com/blog / новости / производительность вопросы-Magento-безопасность патч-SUPEE-6788

Наряду с другими комментариями об обнаружении конфликтов, мы в ParadoxLabs создали скрипт для отслеживания всего, на что влияют APPSEC-1034 (контроллеры администратора) и APPSEC-1057 (белый список). Он также попытается исправить любые плохие контроллеры, так как это довольно точное и инвазивное изменение.

Он не охватывает APPSEC-1063 (внедрение SQL) или APPSEC-1079 (пользовательские параметры), но было бы здорово, если бы это было возможно. Не уверен, как обнаружить их с какой-либо точностью. Мы открыты для участия.

https://github.com/rhoerr/supee-6788-toolbox

Этот сценарий php может быть полезен при идентификации кода Magento, на который влияет предложенный патч SUPEE-6788 .

Это ни в коем случае не является надежной проверкой безопасности для этого исправления, но может быть полезно для быстрого сканирования вашей установки на наличие модулей и затронутого кода.

Установите скрипт с

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

отредактируйте путь к вашей установке Magento

$_magentoPath='/home/www/magento/';

бегать

php magento_appsec_file_check.php

Затронутые файлы будут отображены:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Сценарий использует grep для поиска файлов Magento на предмет наличия кода, который может нарушить обратную совместимость с настройками или расширениями при использовании SUPEE-6788.

Уже есть большой список доступных со всеми расширениями, которые будут ломаться с SUPEE-6788

Более подробная информация здесь: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

Список разрешенных переменных, которые можно обработать с помощью фильтра содержимого, больше, чем было показано в PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(Я добавил +ранее переменные, которые не были описаны в PDF)

Разрешенные блоки, которые могут быть обработаны через фильтр содержимого:

core/template
catalog/product_new