Патч безпеки SUPEE-10266 - Можливі проблеми?

Новий виправлення безпеки для Magento 1 розв'язав 13 проблем APPSEC

https://magento.com/security/patches/supee-10266

На які найпоширеніші проблеми ви повинні стежити, застосовуючи цей патч?

SUPEE-10266, Magento Commerce 1.14.3.6 та Open Source 1.9.3.6 містять декілька покращень безпеки, які допомагають закрити підробку запитів між веб-сайтами (CSRF), несанкціоновану витік даних та автентифіковані вразливі місця віддаленого виконання коду адміністратора. Ці випуски також містять виправлення проблем із перезавантаженням зображень та платежами за допомогою однокрокової каси.

Деякі важливі відомості діляться тут. Більшість файлів із Magento Bakend. Список файлів:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

Важливо, щоб перевірити ці три файли.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

додаток / код / ​​core / Mage / Checkout / контролери / CartController.php додаткова перевірка умови клієнтського ідентифікатора :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

додаток / код / ​​core / Mage / Продажі / Модель / Ресурс / Замовлення / Елемент / Collection.php додано Додатковий метод addFilterByCustomerId у колекції.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

якщо 'general / reprocess_images / active' false, то пропускайте обробку зображень. ПРИМІТКА. Якщо вимкнути повторну обробку зображень, процес завантаження зображень може спричинити загрозу безпеці

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Сподіваюсь, це стане в нагоді. Я думаю

EE 1.14.2.4

Друкуйте на рядку 726 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Здається, у патчі пропущено два фронтальних файли:

Виправлено:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Не зафіксовано:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml

Крім того, не забудьте перевірити місцеві скасування ... Мені довелося вручну виправити локальний перезапуск кодового пулу app\design\adminhtml\default\default\template\sales\order\view\info.phtml

Дивіться відповідь квазіобекта на питання, що стосується замовлення на одній сторінці. Квиток підтримки підприємства створений, чекаючи відповіді від Magento. Якщо ви не хочете чекати оновленого виправлення, потенційним виправленням є зміна app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmlстатусу "else" в, щоб включити елемент form_key, як-от так:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...

CE 1.9.2.4

Друкуйте на рядку 694 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Розширення TrueOrderEdit має бути виправлено ... зміни echo $_groupNameв echo $this->escapeHtml($_groupName)наступні файли:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml

Нарешті, цей основний файл шаблону, ймовірно, також повинен бути виправлений тим самим оновленням $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml

Усі версії 1.X

Якщо ви видалили /downloaderпапку (або /downloader/template) зі своєї кодової бази, можливо, вам доведеться вручну відредагувати патч-файл .sh та видалити останній розділ, починаючи зdiff --git downloader/template/login.phtml downloader/template/login.phtml

Щодо помилки невірного секретного ключа , будь ласка, дивіться мою відповідь тут: Magento 1.9 Недійсний секретний ключ. Будь ласка, оновіть сторінку

Ми в MageHost.pro знайшли проблему в патчі для Magento 1.9.1.1, патч-файлуPATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Помилка:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Я виправив це, замінивши рядки 454-472 на 454-471 від PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Старий код, рядок 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Новий код, рядки 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Здається, що в цей патч було додано лише 1 ключ форми.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Тож якщо у вас виникли труднощі з видаленням віджета з панелі адміністратора, переконайтеся, що ваш URL-адрес видалення блокується блоком, і щоб у вас не було відмінок цього блоку.

Неможливо оформити замовлення на EE 1.11+

У app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlформі форми код видалення видалено, і він порушує весь замовлення, більше інформації тут: https://magento.stackexchange.com/a/193442/2380

Наразі вирішення проблеми (оскільки для вирішення цієї проблеми буде випущено V2 для EE 1.11+): відкат файлу шаблонів для обох enterprise/defaultі rwd/entrepriseтем.

Відмінності між патчем та версією

EDIT: 1.9.3.6 було випущено, тому ця інформація більше не є актуальною

Однією з головних проблем, яка піднімалася на даний момент, є те, що в 1.9.3.5 відсутні 3 патчі безпеки з патча. Тому я настійно рекомендую лише виправлення, а не оновлення до 1.9.3.5

Все ще намагаємось визначити, чи це унікально для нашого магазину, завдяки власним шаблонам. Однак він порушений із застосованим патчем і не зламаний під час відновлення. Я хотів опублікувати, якщо інші можуть повідомити про це.

У EE 1.14.2.0 ми не можемо пройти повз етапу оформлення платіжної інформації з платежем із застосованим патчем. Ми застосовуємо SUPEE-9767 v2 до того, як застосувати новий патч.

Наша проблема, схоже, випливає з них || elements[i].name == 'form_key':

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Його виймають з enablePaymentMethodsпетлі. Схоже, цей прихований вхід форми_ключення форми вимкнено і тому не передається контролеру при надсиланні.

<input name="form_key" type="hidden" value="X" disabled="">

Потім $this->_validateFormKey()виходить з ладу і контролер нічого не повертає.

Оновлення 1 (2017-09-18) : я подав квиток у службу підтримки Magento у п’ятницю, і мені сказали, що «[ще не повідомили жодного продавця». Замість того, щоб надсилати резервні копії, я намагався дублювати на чистій установці 1.14.2.4 та 1.14.3.4 із застосованими відповідними патчами. Я зміг дублювати та відповів на квиток. Чекаю нової відповіді.

Примітка: Система> Конфігурація> Адміністратор> Захист> Увімкнути перевірку ключа форми під час оформлення замовлення має бути "Так". Якщо "Ні", ви не побачите проблеми.

Оновлення 2 (2017-09-18) : Помітив, що я не міг дублювати проблему з 1.14.3.6, але коли я перевірив файл шаблону вище, || elements[i].name == 'form_key'все ще є. Здається, патчі не повинні були їх видаляти. Надіслали цю інформацію також підтримці Magento.

Оновлення 3 (2017-09-20): я щойно отримав виправлення, щоб виправити проблему на 1.14.0.0–1.14.3.4, який просто відновлює form_keyрядок до шаблону. Попросіть підтримку для SUPEE-10348.

Коли ви переходите до Magento Connect та після натискання кнопки "Повернутися до адміністратора" у верхньому правому куті сторінки. Повернувшись назад до інформаційної панелі адміністратора, ви отримаєте повідомлення про помилку

червоне повідомлення про помилку: "Недійсний секретний ключ. Будь ласка, оновіть сторінку."

Після оновлення сторінки її зникне.

Оновлено: 15 вересня 2017 р

Якщо ви ввійдете до адміністратора Magento, скажіть, на панелі керування Без виходу з панелі інформаційної панелі ви відкриваєте інше вікно веб-переглядача в тому ж браузері і переходите на сторінку example.com/admin, він автоматично авторизується та показує саме те саме повідомлення

червоне повідомлення про помилку: "Недійсний секретний ключ. Будь ласка, оновіть сторінку."

Поки що це єдине питання, яке я знайшов. Я навіть не впевнений, чи це суцільна проблема, коли повідомлення проходить після оновлення.

Я попросив Magento підтримку щодо наступної проблеми

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Вони відповіли мені сьогодні вранці і випустили новий патч PATCH_SUPEE-10348 .

Magento просто вирішив проблему, зробивши реверт у цьому файлі.

Індекс: додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
===================================================== =================
--- додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
+++ додаток / дизайн / frontend / підприємство / за замовчуванням / шаблон / giftcardaccount / onepage / Payment / scriptpts.phtml
@@ -35,6 +35,7 @@
             if (елементи [i] .name == 'оплата [метод]'
                 || елементи [i] .name == 'оплата [use_customer_balance]'
                 || елементи [i] .name == 'оплата [use_reward_points]'
+ || елементи [i] .name == 'form_key'
             ) {
                 methodName = елементи [i] .значення;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

У мене виникли проблеми із шаблонами електронної пошти, спеціальним CSS та модменом. Якщо у вас є, наприклад, тема, заснована на rwd/defaultкористувачеві, skin/frontend/package/theme/css/email-inline.cssа ваші шкірні файли включаються через модуль через симпосилання, CSS не буде доданий до шаблону пошти після застосування SUPEE-10266. Проблема полягає в тому Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, що введено деякі перевірки:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Я вирішив це на даний момент брудним злом з app/code/local/Mage/Core/Model/Email/Template/Abstract.phpпереоцінкою. Мені довелося ослабити чек, щоб можна було завантажити файл CSS з каталогу modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Він не перевірить, чи шлях містить більше повний каталог шкіри, а лише перевірить, чи містить цей шлях рядок /skinі чи не містить він .., що повинно запобігти атакам обходу каталогів.

Ось повний список виправлень, на які впливає autocomplete="new-pawwsord"помилка друку:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

У Magento 1.8.1 у мене виникли проблеми із такими файлами:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Я закінчив завантаження останньої версії Magento, яка НЕ ​​містить патча. У цьому випадку Magento 1.9.3.4 .

Заміна «пошкоджених» файлів на файл із завантаження вирішила проблему. Мені вдалося успішно застосувати патч.

Але будьте обережні: я пропоную повернути 3 файли після виправлення знову і відредагувати файли вручну.