Heute, den 04.08.2015, wurde ein neuer Sicherheitspatch veröffentlicht. Einige Kollegen und ich haben den Patch überprüft. Es ist immer schön, eine Diskussion darüber zu führen, was sich geändert hat. Weiß auch jemand, welche möglichen Angriffe sich auf einen ungepatchten Shop auswirken könnten? Was ist das Schlimmste, was passieren könnte?
Update: Ich wollte nur die E-Mail hinzufügen, die Magento heute gesendet hat, um den Beitrag zu vervollständigen.
magento-1.9
security
patches
Iloiacono
quelle
quelle
magento-1921/app/code/core/Mage/Cms/Block/Block.php
undmagento-1921/app/code/core/Mage/Cms/Block/Widget/Block.php
Antworten:
Der eigentliche Sicherheitspatch ( SUPEE-6482 ) wirkt sich nur auf die beiden folgenden Dateien aus und ist ein API-Patch.
Die vollständige 1.9.2.1-Installation ist eine ganz andere Sache. Ich würde den Quellcode zwischen 1.9.2.0 und 1.9.2.1 unterscheiden, um die beiden anderen Elemente herauszufinden, die gepatcht wurden.
Versionshinweise gelten für das vollständige Installationsprogramm. Sie müssen den Patch überprüfen, um festzustellen, ob er tatsächlich alle in den Versionshinweisen aufgeführten Elemente enthält.
Auswirkungen der Ausführung eines nicht gepatchten Servers:
HINWEIS: Dateien, die im vollständigen Installationsarchiv gepatcht wurden und nicht mit dem Patch gepatcht wurden, hmm?
quelle
Ich habe mir die Veränderungen im Detail angeschaut und mit welchen Nebenwirkungen zu rechnen ist.
In der Version für EE 1.13.1.0 wurden folgende Dateien geändert:
Adapter/Soap.php
wird den Authentifizierungsdaten eine Urlencodierung hinzugefügt. Dies sollte keine negativen Nebenwirkungen haben. Es wird sichergestellt, dass das ErgebniswsdlUrl
gültig ist. Ohne diese Änderung könnte man die URL beeinflussenProduct/Api/V2.php
: Hier einige Überprüfungen, ob übergebene Daten ein Objekt sind. Dies sollte unter normalen Umständen nicht passieren.Request/Http.php
undPageCache/Model/Processor.php
ein Häkchen wird hinzugefügt, wenn der HTTP-Host abgerufen wird. Dies scheint die erwähnten Kopfeinspritzungen abzudecken. Die Prüfung gilt nur, wenn ein;
oder,
im HTTP-Host vorhanden ist, daher sollte dies in realen Systemen unkritisch sein / keine negativen Nebenwirkungen haben.cookie.phtml
Flucht wird hinzugefügt. Wenn Sie diese Datei überschreiben, muss diese also auf Ihr Thema weitergeleitet werdengiftregistry/search/form.phtml
Zusammenfassend würde ich sagen, dass das Anwenden des Pflasters keine negativen Nebenwirkungen haben sollte. Denken Sie daran, die Änderungen an Ihren
.phtml
Dateien weiterzuleiten .quelle
Merkwürdige Sache ist, dass der EE-Patch Änderungen an folgenden Dateien enthält:
Wenn das CE nicht der Fall ist, für eine gleichwertige Version.
Ich nehme an, dass in dieser
SUPEE-6482
CE-Version etwas fehlt und eine V2 bald veröffentlicht werden könnte.quelle
Magento Release Patch SUPEE-6482 zur Behebung des folgenden Problems in der CE & EE Edition
Für Magento Community Edition:
Für Magento Enterprise Edition
XSS in der Geschenklisten-Suche
Veränderung im Unterricht
Mage_Api_Model_Server_Adapter_Soap
Mage_Catalog_Model_Product_Api_V2
Änderungen bei Mage_Api_Model_Server_Adapter_Soap
Änderung bei Mage_Catalog_Model_Product_Api_V2
Weitere Informationen finden Sie unter:
http://www.amitbera.com/magento-security-patch-supee-6482/quelle
app/code/core/Mage/Core/Controller/Request/Http.php
undapp/design/frontend/base/default/template/page/js/cookie.phtml
gehören zu den fehlenden. Vielleicht sollten wir die Frage oben ändern und lesen: Magento-Sicherheitspatch SUPEE-6482, Was ist nicht gepatcht?Bitte lesen Sie Magentos Dokumentation zu dieser Version. Die Antwort finden Sie hier: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/release-notes-ce-1.9.2.1.html
quelle
Dieser Patch enthält, wie andere aktuelle Patches, zahlreiche Korrekturen für Kopien, Lizenzen und Tippfehler. Es führt auch ein paar Tippfehler von dem ein, was ich gesehen habe.
Der eigentliche Teil des Sicherheitspatches befasst sich anscheinend mit der Bereinigung von Benutzereingaben für vier verschiedene potenzielle Angriffe.
quelle