À partir des notes de version 1.8CE Alpha:
La boutique en ligne Magento dispose de protections supplémentaires Cross Site Request Forgery (CSRF), ce qui signifie qu'un imposteur ne peut plus se faire passer pour un client nouvellement enregistré et effectuer des actions au nom du client.
et:
Dans les versions antérieures, Magento était vulnérable à une attaque de fixation de session pendant le processus d'enregistrement. Après s'être connecté à leur compte, l'ID de session d'un utilisateur enregistré n'a pas changé. Par conséquent, si un attaquant avait connaissance d'un ID de session non autorisé et si cet utilisateur s'enregistre avec succès, l'attaquant a pu reprendre le compte nouvellement enregistré. Désormais, l'ID de session change après une inscription réussie, rendant impossible toute utilisation non autorisée d'un compte.
Si cela se trouve dans les notes de publication et que je ne vois pas de version ponctuelle sur les versions précédentes corrigeant cela (est-ce que je cherche au mauvais endroit?) - cela signifie-t-il que les magasins pré-1.8 actuels sont potentiellement ouverts à ces attaques vecteurs ?
Source: http://www.magentocommerce.com/knowledge-base/entry/ce-18-later-release-notes
la source
Réponses:
Bref, oui. CE 1.7 est toujours vulnérable à ces attaques spécifiques car aucune version de sécurité n'a été publiée contenant un correctif.
Dans le cas de ce dernier, une attaque de fixation de session, le changement est une mise à niveau des pratiques de sécurité que Magento utilisait déjà pour rester en ligne avec les meilleures pratiques de sécurité actuelles. Pas quelque chose susceptible d'être délivré à CE 1.7 s'ils émettent un correctif avec les correctifs CSRF.
La vraie question est de savoir quelles étaient exactement ces vulnérabilités CSRF qui ont été corrigées? Sans doute une bonne chose qu'ils n'incluent pas de spécificités dans les notes de mise à jour, compromettant ainsi davantage toutes les versions précédentes, mais ce serait bien de savoir pour patcher les anciennes implémentations.
MISE À JOUR # 1: En contactant Magento pour savoir quand ils publieront des correctifs pour les vulnérabilités ci-dessus, j'ai reçu la réponse suivante:
Je posterai plus de détails ici au fur et à mesure que je les obtiendrai, et je ferai de mon mieux pour obtenir des correctifs car il semble qu'il n'y ait actuellement aucun correctif.
MISE À JOUR # 2: Après des allers-retours avec l'équipe de support, j'ai pu obtenir un correctif approprié pour Magento EE 1.12.0.2. Aucun correctif n'a été émis pour Magento CE 1.7.0.2, et pour autant que le technicien qui a examiné en interne pour moi le sache, il n'est pas prévu de publier un correctif officiel pour CE 1.7.x au lieu de résoudre les problèmes uniquement dans le prochain CE 1.8 version stable.
En ce qui concerne le fichier de correctif spécifique à EE, je ne peux pas le poster (ou l'outil d'application de correctif) ici directement car il serait sans aucun doute en violation de la NDA entre Magento et moi-même personnellement et la société pour laquelle je travaille. Le nom du correctif correspondant est: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - Si vous avez l'édition Enterprise ou un client l'utilisant, vous devriez pouvoir demander ce correctif à l'équipe de support Magento avec une note sur les vulnérabilités CSRF qu'il est censé corriger.
Pour les utilisateurs de CE 1.7.0.2, j'ai pris la liberté de générer un fichier de patch (basé sur le patch fourni par Magento) qui comprend uniquement les morceaux de code qui modifient les fichiers de code de base de Magento CE 1.7.0.2. En règle générale, il inclut des bits non pertinents de commentaires ajoutés et un formatage ajusté ainsi que les modifications de code pertinentes. Pour le créer, vous devez modifier manuellement le correctif d'origine pour l'appliquer à l'aide de l'outil d'application de correctif fourni, puis utiliser git pour générer un correctif en fonction des modifications appliquées.
Le fichier patch que j'ai créé peut être téléchargé à partir de cet essentiel: https://gist.github.com/davidalger/5938568
Pour appliquer le patch, commencez par cd à la racine de votre installation Magento et exécutez la commande suivante:
patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
Le correctif spécifique à EE comprenait des vérifications de validation des clés de formulaire pour les contrôleurs spécifiques à l'entreprise, des modifications aux fichiers de modèle d'entreprise / par défaut et d'entreprise / iphone pour inclure les clés de formulaire dans les formulaires utilisés pour les actions du contrôleur corrigé, et des fonctionnalités supplémentaires de cache de page complète pour prendre correctement en compte passer des clés de formulaire dans les deux sens sur les pages en cache.
AVERTISSEMENT: je n'ai pas testé le correctif EE fourni par Magento ni le correctif que j'ai téléchargé sur l'essentiel lié. Le correctif fourni dans l'essentiel référencé est fourni SANS GARANTIE et peut ou peut ne pas résoudre complètement les vulnérabilités référencées dans les notes de publication CE 1.8. En tant que patch non testé, il n'y a également aucune garantie qu'il fonctionne en tout ou en partie. C'est à dire à vos risques et périls, et faites preuve de diligence raisonnable pour tester avant de déployer dans un environnement de production. Si vous rencontrez des problèmes avec le patch, faites-le moi savoir et je le mettrai à jour.
la source
Je ne suis pas sûr à 100% car je n'ai pas pu reproduire le problème mais
signifie que jusqu'à présent, un imposteur pouvait se faire passer pour un client nouvellement enregistré.
J'espère que ce n'est que de la «sémantique» mais je pense que cela signifie ce que vous craignez.
la source