Як перевірити, на які модулі впливає патч безпеки SUPEE-6788

27 жовтня 2015 року Magento випустила патч безпеки SUPEE-6788. Відповідно до технічних деталей , 4 APPSEC, які були виправлені, потребують певної переробки в локальних модулях та модулях спільноти:

• APPSEC-1034, адресація в обхід користувацької URL-адреси адміністратора (відключена за замовчуванням)
• APPSEC-1063, що стосується можливої ​​ін'єкції SQL
• APPSEC-1057, метод обробки шаблонів дозволяє отримати доступ до приватної інформації
• APPSEC-1079, що стосується потенційного використання за допомогою типового файлу опцій

Мені було цікаво, як перевірити, на які модулі впливає цей патч безпеки.

Я придумав таке часткове рішення:

• APPSEC-1034: пошук <use>admin</use>у config.xml для всіх локальних модулів та модулів спільноти. Я думаю, що тут слід перелічити всі модулі, на які впливає це питання.
• AppSec-1063: пошук addFieldToFilter('(і addFieldToFilter('`у всіх PHP файлів місцевих і громадських модулів. Це неповно, тому що змінні також можуть бути використані.
• AppSec-1057: пошук {{config path=і {{block type=у всіх PHP файлів місцевих і громадських модулів, і відфільтрувати всі елементи з білого списку. Це неповно, оскільки не містить змінних шаблонів, доданих адміністраторами.
• APPSEC-1079: поняття не маю.

Існує також список розширень, які є вразливими для APPSEC-1034 та APPSEC-1063, складеного Пітером Яапом Блаакмером

SUPEE-6788 випущені та зміни маршрутизації адміністратора вимкнено за замовчуванням. Це означає, що патч включає виправлення, але він буде відключений при встановленні. Це дасть вам додатковий час на оновлення свого коду і надасть торговцям гнучкість увімкнути цю частину виправлення, як тільки їх розширення та налаштування будуть оновлені для роботи з ним.

Щоб увімкнути можливість маршрутизації адміністратора для розширень після встановлення шляху, перейдіть до Адміністратора -> Додатково -> Адміністратора -> Безпека.

Патчі Magento CE 1.4-1.6 затримуються і мають бути доступні приблизно через тиждень!

SUPEE-6788 Список ресурсів

• Офіційні відомості та завантажте SUPEE-6788 - http://magento.com/security/patches/supee-6788 & https://www.magentocommerce.com/download

• Як застосувати обговорення SUPEE-6788 з корисними порадами - https://magento.meta.stackexchange.com/a/734/2282

• Встановіть SUPEE-6788 без SSH - https://magentary.com/kb/install-supee-6788-without-ssh/

• SUPEE-6788 для CE 1.7.0.1 - 1.9.2.1 на GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• SUPEE-6788 для EE 1.12.x - 1.14.x на GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• Сумісність SUPEE-6788 та назад - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• Спільнота, оновлена ​​оновленим списком розширень, які порушуються з SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/trule/htmlviews?html gid = 0

• Корисні команди Magerun https://github.com/peterjaap/magerun-addons

  • n98-magerun dev: template-var - Знайдіть сумісні з SUPEE-6788 та Magento 1.9.2.2 сумісні з SUPEE-6788 та Magento 1.9.2.2
  • n98-magerun.phar dev: old-admin-route - Знайдіть розширення, які використовують маршрутизацію адміністратора старого стилю (яка не сумісна з SUPEE-6788 та Magento 1.9.2.2)

• Перевірте, чи магазин виправлений / порушений - https://www.magereport.com/

• Деякі спеціальні блоки на першій сторінці зникли після встановлення патчу - APPSEC-1057 Як додати змінні чи блоки до таблиць білого списку & https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-користувацькі блоки-випуск /

• Magento SUPEE-6788 Developer Toolbox - знайдіть і автоматично вирішіть основні проблеми із патчу https://github.com/rhoerr/supee-6788-toolbox

• MageDownload CLI - інструмент PHP для автоматизації випуску Magento та завантаження патчів - https://github.com/steverobbins/magedownload-cli

• Як змінити шаблони змінних шаблонів і блоків для SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• Перевірте файли Magento на наявність відомого коду, на який впливає appsec - https://github.com/Schrank/magento-appsec-file-check

• Поширені проблеми з встановленням патчу SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-isissue/

• Поліпшення продуктивності Magento Patch SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , подробиці - http://www.magecore.com/blog / новини / performance-issues-magento-security-patch-supee-6788

Згідно з іншими коментарями щодо виявлення конфліктів, ми в ParadoxLabs створили сценарій для відстеження всього, на що впливають APPSEC-1034 (контролери адміністратора) та APPSEC-1057 (білий список). Він також намагатиметься виправити будь-які погані контролери, оскільки це досить точна та інвазивна зміна.

Він не охоплює APPSEC-1063 (ін'єкція SQL) або APPSEC-1079 (спеціальні параметри), але було б чудово, якби можна. Не знаєте, як їх виявити з будь-якою точністю. Ми відкриті для внесків.

https://github.com/rhoerr/supee-6788-toolbox

Цей скрипт php може бути корисним для визначення коду Magento, на який впливає запропонований патч SUPEE-6788 .

Це жодним чином не є надійною перевіркою безпеки для цього виправлення, але може бути корисним для швидкого сканування вашої установки на предмет впливів на модулі та код.

Встановіть сценарій за допомогою

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

відредагуйте шлях до інсталяції Magento

$_magentoPath='/home/www/magento/';

бігати

php magento_appsec_file_check.php

Відображаються файли:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

У скрипті використовується grep для пошуку файлів Magento для виявлення коду, який, можливо, може порушити сумісність із налаштуваннями або розширеннями, коли застосовано SUPEE-6788.

Уже є великий список із усіма розширеннями, які зриваються із SUPEE-6788

Більше інформації тут: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

Список дозволених змінних, які можна обробити за допомогою фільтра вмісту, більший, ніж показано у PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(Я додав +до змінних, які не були описані в PDF)

Дозволені блоки, які можна обробити за допомогою фільтра вмісту:

core/template
catalog/product_new