Vulnérabilité Magento swf XSS - Comment y remédier?

12

Selon la vulnérabilité SWF / Flash répertoriée sur: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

dont j'ai vérifié qu'il existe toujours dans Magento 1.9.1.0, quelle est la meilleure méthode pour y remédier? Des problèmes de blocage ou de restriction d'accès à ces fichiers swf?

magento-1.9 adminhtml security skin Rob Mangiafico
la source
2
Selon Piotr Kaminski, il a été corrigé en 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, je pense que je vois pourquoi je pensais que 1.9.1.0 était toujours vulnérable. Je l'ai testé sur quelques magasins Magento mis à niveau à partir de 1.9.0.1 et le fichier editor.swf (qui n'est pas utilisé dans 1.9.1.0) était toujours là à partir des anciennes versions, donc il montrait toujours l'alerte. appcheck répertorie uploader.swf et uploaderSingle.swf comme vulnérables, mais je ne peux pas faire apparaître l'alerte sur une version utilisant ces fichiers. Je vois 1.9.1.0 mis à jour les deux fichiers swf de l'uploader, il semble donc qu'ils soient corrigés. Pour les anciennes versions 1.9.0.1 et antérieures, existe-t-il un correctif / solution de contournement qui peut être utilisé pour atténuer les risques en plus de la mise à niveau?
Rob Mangiafico
Vous pouvez essayer de remplacer les deux fichiers .swf et voir si cela ne casse aucune fonctionnalité, si c'est le cas, il peut y avoir du code à corriger. Malheureusement, il ne semble pas que Magento ait un correctif officiel pour cela sur les anciennes versions.
B00MER

Réponses:

10

Ce n'est probablement pas une réponse Stack Exchange 100% valide car je ne peux pas fournir la solution complète, mais je pense qu'il vaut mieux publier cela que rien.

Il existe un correctif du support d'entreprise qui résout le problème. Je ne suis pas autorisé à publier le correctif, mais si vous êtes un client d'entreprise, vous pouvez demander le correctif car il est également compatible avec certaines versions CE.

Voici quelques informations que j'espère pouvoir partager sans problème:

Le correctif supprime deux fichiers SWF et modifie les fichiers SWF de l'uploader.

On m'a dit que le patch fourni était compatible avec ces versions CE:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

De plus, il est compatible avec toutes les versions EE <1.14.0.0, donc je suppose que le patch est inclus dans EE 1.14. Il serait donc logique qu'il soit également inclus dans CE 1.9.

[Mise à jour] J'ai été informé par le support que le patch a été incorporé dans CE 1.9.1. La solution devrait donc être de mettre à jour vers CE 1.9.1.0 ou de demander ce correctif directement à Magento.

Matthias Zeis
la source