Magento swf XSS-Schwachstelle - Wie kann man das beheben?

12

Gemäß der SWF / Flash-Sicherheitsanfälligkeit, die unter folgender Adresse aufgeführt ist: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

Welche von mir überprüfte Methode gibt es in Magento 1.9.1.0 noch? Was ist die beste Methode, um dies zu beheben? Probleme beim Blockieren oder Einschränken des Zugriffs auf diese SWF-Dateien?

magento-1.9 adminhtml security skin Rob Mangiafico
quelle
2
Laut Piotr Kaminski wurde es in 1.9.1.0 gepatcht. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, ich glaube ich verstehe, warum ich dachte, 1.9.1.0 sei immer noch anfällig. Ich habe es in einigen Magento-Stores getestet, die ein Upgrade von 1.9.0.1 durchgeführt haben, und die Datei editor.swf (die in 1.9.1.0 nicht verwendet wird) war von den älteren Versionen noch vorhanden, sodass die Warnung weiterhin angezeigt wurde. Appcheck listet uploader.swf und uploaderSingle.swf als anfällig auf, aber ich kann nicht die Warnung erhalten, dass diese Dateien in einer Version verwendet werden. Ich sehe 1.9.1.0 beide Uploader-SWF-Dateien aktualisiert, so dass es scheint, dass sie gepatcht sind. Gibt es für ältere 1.9.0.1- und ältere Versionen einen Patch / eine Problemumgehung, mit der das Risiko neben dem Upgrade verringert werden kann?
Rob Mangiafico
Sie können versuchen, die beiden SWF-Dateien zu ersetzen, um festzustellen, ob die Funktionalität nicht beeinträchtigt wird. Andernfalls muss möglicherweise Code gepatcht werden. Leider hat Magento anscheinend keinen offiziellen Patch für ältere Releases.
B00MER,

Antworten:

10

Dies ist wahrscheinlich keine 100% gültige Stack Exchange-Antwort, da ich nicht die vollständige Lösung bereitstellen kann, aber ich denke, es ist besser, dies als nichts zu posten.

Es gibt einen Patch vom Enterprise Support, der das Problem behebt. Ich darf den Patch nicht veröffentlichen, aber wenn Sie ein Unternehmenskunde sind, können Sie nach dem Patch fragen, da er auch mit einigen CE-Versionen kompatibel ist.

Hier sind einige Informationen, von denen ich hoffe, dass ich sie teilen kann, ohne in Schwierigkeiten zu geraten:

Der Patch löscht zwei SWF-Dateien und ändert die Uploader-SWFs.

Mir wurde gesagt, dass der bereitgestellte Patch mit diesen CE-Versionen kompatibel ist:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Außerdem ist es mit allen EE-Versionen <1.14.0.0 kompatibel, sodass der Patch vermutlich in EE 1.14 enthalten ist. Es wäre dann sinnvoll, dass es auch in CE 1.9 enthalten ist.

[Update] Ich wurde vom Support darüber informiert, dass der Patch in CE 1.9.1 integriert wurde. Daher sollte die Lösung darin bestehen, entweder auf CE 1.9.1.0 zu aktualisieren oder diesen Patch direkt von Magento anzufordern.

Matthias Zeis
quelle