Comment vérifier quels modules sont affectés par le correctif de sécurité SUPEE-6788

71

Le 27 octobre 2015, Magento a publié le correctif de sécurité SUPEE-6788. Selon les détails techniques , 4 APPSEC qui ont été corrigés nécessitent quelques retouches dans les modules locaux et communautaires:

APPSEC-1034, l'adressage en ignorant l'URL de l'administrateur personnalisé (désactivé par défaut)
APPSEC-1063, adressage possible d'injection SQL
APPSEC-1057, la méthode de traitement des modèles permet d'accéder à des informations privées
APPSEC-1079, adresser potentiel exploit avec le type de fichier d'option personnalisé

Je me demandais comment vérifier quels modules sont affectés par ce correctif de sécurité.

Je suis venu avec la solution partielle suivante:

APPSEC-1034: recherche <use>admin</use>dans le fichier config.xml de tous les modules locaux et communautaires. Je pense que cela devrait lister tous les modules concernés par ce problème.
APPSEC-1063: rechercher addFieldToFilter('(et addFieldToFilter('`dans tous les fichiers PHP des modules locaux et communautaires. Ceci est incomplet, car les variables peuvent également être utilisées.
APPSEC-1057: recherche dans {{config path=et {{block type=dans tous les fichiers PHP de modules locaux et de communauté et filtre tous les éléments de la liste blanche. Ceci est incomplet, car il ne contient aucune variable de modèle ajoutée par les administrateurs, cependant.
APPSEC-1079: aucune idée.

Il existe également une liste des extensions vulnérables pour APPSEC-1034 et APPSEC-1063, établies par Peter Jaap Blaakmeer.

— Aad Mathijssen
source

Je ne sais pas comment contacter @PeterJaapBlaakmeer, mais j'ai une extension à ajouter à la liste: FreeLunchLabs ConstantContact pour le problème de l'url de l'administrateur

— David Wilkins

6

qui a proposé certaines de ces solutions? Soudain, il y aura un type de bloc et une liste blanche variable? La mise à niveau de Magento a toujours été pénible, mais bon travail à Magento pour l’avoir rendue encore plus pénible.

— Agop

6

Heh, Magento, le cadeau qui continue à donner. Je viens de terminer la mise à niveau de TOUS les modules pour la compatibilité 1.9.2.1. Les développeurs de modules de pari sautent juste de joie ou courent crier pour les collines.

— Fiasco Labs

3

correctif actuellement reporté à la semaine prochaine - reportez la publication du correctif de sécurité au début de la semaine prochaine et modifiez le correctif de sorte que les modifications de routage de l'administrateur soient désactivées par défaut. Cela signifie que le correctif inclura le correctif, mais qu'il sera désactivé une fois installé. La nouvelle date de publication et les modifications apportées au correctif vous donneront un peu plus de temps pour mettre à jour votre code et donneront aux marchands la possibilité d'activer cette partie du correctif une fois que leurs extensions et leurs personnalisations auront été mises à jour.

— FireBear

1

PATCH a été publié magento.com/security/patches/supee-6788-technical-details

— Mukesh

55

La version SUPEE-6788 est publiée et les modifications de routage d'administration sont désactivées par défaut. Cela signifie que le correctif inclut le correctif, mais qu'il sera désactivé lors de son installation. Cela vous donnera un peu plus de temps pour mettre à jour votre code et donnera aux marchands la possibilité d'activer cette partie du correctif une fois que leurs extensions et leurs personnalisations auront été mises à jour pour fonctionner avec.

Pour activer la fonction de routage administrateur pour les extensions après l’installation du chemin, sélectionnez Administrateur -> Avancé -> Administrateur -> Sécurité.

Les correctifs Magento CE 1.4-1.6 sont en retard et devraient être disponibles dans environ une semaine!

SUPEE-6788 Liste de ressources

Détails officiels & téléchargement SUPEE-6788 - http://magento.com/security/patches/supee-6788 & https://www.magentocommerce.com/download
Comment appliquer la discussion SUPEE-6788 avec des conseils utiles - https://magento.meta.stackexchange.com/a/734/2282
Installez SUPEE-6788 sans SSH - https://magentary.com/kb/install-supee-6788-without-ssh/
SUPEE-6788 pour CE 1.7.0.1 - 1.9.2.1 sur GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE
SUPEE-6788 pour EE 1.12.x - 1.14.x sur GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE
SUPEE-6788 et compatibilité descendante - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf
Liste mise à jour par la communauté des extensions qui rompront avec SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1_rg/htmlview gid = 0
Commandes utiles de Magerun https://github.com/peterjaap/magerun-addons
- n98-magerun dev: template-var - Recherche des vars / blocs non inscrits sur la liste blanche compatibles avec SUPEE-6788 et Magento 1.9.2.2
- n98-magerun.phar dev: old-admin-routing - Recherche les extensions qui utilisent un routage admin de style ancien (incompatible avec SUPEE-6788 et Magento 1.9.2.2).
Vérifiez si le magasin est corrigé / affecté - https://www.magereport.com/
Certains blocs personnalisés de la page d'accueil ont disparu après l'installation du correctif - APPSEC-1057 Comment ajouter des variables ou des blocs aux tableaux de la liste blanche & https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-custom-blocks-issue /
Magento SUPEE-6788 Developer Toolbox - trouvez et résolvez automatiquement les problèmes majeurs à partir du correctif https://github.com/rhoerr/supee-6788-toolbox
MageDownload CLI - Un outil PHP pour automatiser les téléchargements de correctifs et de versions de Magento - https://github.com/steverobbins/magedownload-cli
Comment ajouter à la liste blanche des variables et des blocs de modèle pour SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9
Recherchez dans les fichiers Magento le code concerné par appsec - https://github.com/Schrank/magento-appsec-file-check
Problèmes courants liés à l'installation du correctif SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/
Amélioration des performances du correctif Magento SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , Détails - http://www.magecore.com/blog / actualites / performance-issues-magento-security-patch-supee-6788

— Ours de feu
source

Pour tous les modules "ne corrige pas", pouvons-nous documenter ce qui en général doit être changé pour que ces modules puissent être corrigés manuellement pour fonctionner avec 6788? Par exemple, "supprimer X de tous les addFieldToFilterappels".

— Tyler V.

1

Le patch a été publié. Veuillez mettre à jour votre réponse.

— 7ochem

@FireBear J'ai déjà appliqué plusieurs fois les correctifs Magento. Mais j'ai un doute sur SUPEE-6788. Dois-je l’appliquer comme d’autres correctifs et, plus tard, je peux activer la fonction de routage d’administrateur dans le panneau d’administration de Magento ou lors de l’installation seulement, je dois en prendre soin. Veuillez suggérer.

— Mukesh

2

@Muk oui, vous pouvez l'installer comme d'autres correctifs, mais vous devez vous méfier des extensions endommagées. Si vous utilisez certaines extensions de la liste, vous devez les corriger manuellement ou attendre la mise à jour des développeurs, jusqu'à ce que vous puissiez activer - Possibilité de routage par l'administrateur. pour les extensions

— FireBear

@FireBear Pourriez-vous nous faire part de vos commentaires sur community.magento.com/t5/Version-Upgrades/… (Avant et Après dans le module personnalisé)

— Mukesh

21

Dans la lignée d'autres commentaires sur la détection des conflits, ParadoxLabs a créé un script permettant de suivre tout ce qui est affecté par APPSEC-1034 (contrôleurs d'administration) et APPSEC-1057 (liste blanche). Il tentera également de réparer les mauvais contrôleurs, car il s'agit d'un changement assez précis et invasif à effectuer.

Cela ne couvre pas APPSEC-1063 (injection SQL) ou APPSEC-1079 (options personnalisées), mais ce serait bien s'il le pouvait. Vous ne savez pas comment les détecter avec une précision quelconque. Nous sommes ouverts aux contributions.

https://github.com/rhoerr/supee-6788-toolbox

— Ryan Hoerr
source

3

cela semble vraiment utile, bon travail!

— jeudi

fixWhitelists ajoute des blocs aux listes blanches mais ne semble pas faire la même chose pour les variables - pouvez-vous confirmer?

— Zigojacko

1

@ zigojacko Il couvre les deux.

— Ryan Hoerr

Oui, compris en essayant. Excellent travail, super travail par ParadoxLabs :)

— zigojacko

Respect à ParadoxLabs. Cet outil permet d’économiser beaucoup de travail.

— DarkCowboy

5

Ce script php pourrait être utile pour identifier le code Magento affecté par le correctif SUPEE-6788 proposé .

Il ne s'agit en aucun cas d'une vérification de sécurité à toute épreuve pour ce correctif, mais il peut s'avérer utile d'analyser rapidement votre installation pour rechercher les modules et le code concernés.

Installez le script avec

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

éditez le chemin de votre installation Magento

$_magentoPath='/home/www/magento/';

courir

php magento_appsec_file_check.php

Les fichiers concernés seront affichés:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Le script utilise grep pour rechercher dans les fichiers Magento des occurrences du code susceptibles de rompre la compatibilité avec les versions antérieures ou les personnalisations ultérieures lorsque SUPEE-6788 est appliqué.

— paj
source

4

Il y a déjà une grande liste disponible avec toutes les extensions qui vont rompre avec SUPEE-6788

Plus d'informations ici: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

— Gary Olderman
source

Je suis vraiment curieux de savoir comment cette liste a été collectée.

— mam08ixo

3

Il était crowdsourced; La source d'origine est: docs.google.com/spreadsheets/d/…

— Herman Slatman

Supprimez la liste de la page ci-dessus et créez un lien vers la source, qui est mise à jour: docs.google.com/spreadsheets/d/…

— Aad Mathijssen

1

Y a-t-il un contact pour informer des versions mises à jour Je vois au moins 2 ou 3 modules déjà mis à jour.

— versedi

-1

La liste des variables autorisées pouvant être traitées via le filtre de contenu est plus longue que celle indiquée dans le PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(J'ai ajouté un +avant les variables qui n'étaient pas décrites dans le PDF)

Les blocs autorisés pouvant être traités via le filtre de contenu sont les suivants:

core/template
catalog/product_new

— Daniel van der Garde
source