Comment vérifier quels modules sont affectés par le correctif de sécurité SUPEE-6788

71

Le 27 octobre 2015, Magento a publié le correctif de sécurité SUPEE-6788. Selon les détails techniques , 4 APPSEC qui ont été corrigés nécessitent quelques retouches dans les modules locaux et communautaires:

  • APPSEC-1034, l'adressage en ignorant l'URL de l'administrateur personnalisé (désactivé par défaut)
  • APPSEC-1063, adressage possible d'injection SQL
  • APPSEC-1057, la méthode de traitement des modèles permet d'accéder à des informations privées
  • APPSEC-1079, adresser potentiel exploit avec le type de fichier d'option personnalisé

Je me demandais comment vérifier quels modules sont affectés par ce correctif de sécurité.

Je suis venu avec la solution partielle suivante:

  • APPSEC-1034: recherche <use>admin</use>dans le fichier config.xml de tous les modules locaux et communautaires. Je pense que cela devrait lister tous les modules concernés par ce problème.
  • APPSEC-1063: rechercher addFieldToFilter('(et addFieldToFilter('`dans tous les fichiers PHP des modules locaux et communautaires. Ceci est incomplet, car les variables peuvent également être utilisées.
  • APPSEC-1057: recherche dans {{config path=et {{block type=dans tous les fichiers PHP de modules locaux et de communauté et filtre tous les éléments de la liste blanche. Ceci est incomplet, car il ne contient aucune variable de modèle ajoutée par les administrateurs, cependant.
  • APPSEC-1079: aucune idée.

Il existe également une liste des extensions vulnérables pour APPSEC-1034 et APPSEC-1063, établies par Peter Jaap Blaakmeer.

extensions security patches routing supee-6788 Aad Mathijssen
la source
Je ne sais pas comment contacter @PeterJaapBlaakmeer, mais j'ai une extension à ajouter à la liste: FreeLunchLabs ConstantContact pour le problème de l'url de l'administrateur
David Wilkins
6
qui a proposé certaines de ces solutions? Soudain, il y aura un type de bloc et une liste blanche variable? La mise à niveau de Magento a toujours été pénible, mais bon travail à Magento pour l’avoir rendue encore plus pénible.
Agop
6
Heh, Magento, le cadeau qui continue à donner. Je viens de terminer la mise à niveau de TOUS les modules pour la compatibilité 1.9.2.1. Les développeurs de modules de pari sautent juste de joie ou courent crier pour les collines.
Fiasco Labs
3
correctif actuellement reporté à la semaine prochaine - reportez la publication du correctif de sécurité au début de la semaine prochaine et modifiez le correctif de sorte que les modifications de routage de l'administrateur soient désactivées par défaut. Cela signifie que le correctif inclura le correctif, mais qu'il sera désactivé une fois installé. La nouvelle date de publication et les modifications apportées au correctif vous donneront un peu plus de temps pour mettre à jour votre code et donneront aux marchands la possibilité d'activer cette partie du correctif une fois que leurs extensions et leurs personnalisations auront été mises à jour.
FireBear
1
PATCH a été publié magento.com/security/patches/supee-6788-technical-details
Mukesh

Réponses:

55

La version SUPEE-6788 est publiée et les modifications de routage d'administration sont désactivées par défaut. Cela signifie que le correctif inclut le correctif, mais qu'il sera désactivé lors de son installation. Cela vous donnera un peu plus de temps pour mettre à jour votre code et donnera aux marchands la possibilité d'activer cette partie du correctif une fois que leurs extensions et leurs personnalisations auront été mises à jour pour fonctionner avec.

Pour activer la fonction de routage administrateur pour les extensions après l’installation du chemin, sélectionnez Administrateur -> Avancé -> Administrateur -> Sécurité.

Les correctifs Magento CE 1.4-1.6 sont en retard et devraient être disponibles dans environ une semaine!

SUPEE-6788 Liste de ressources

Ours de feu
la source
Pour tous les modules "ne corrige pas", pouvons-nous documenter ce qui en général doit être changé pour que ces modules puissent être corrigés manuellement pour fonctionner avec 6788? Par exemple, "supprimer X de tous les addFieldToFilterappels".
Tyler V.
1
Le patch a été publié. Veuillez mettre à jour votre réponse.
7ochem
@FireBear J'ai déjà appliqué plusieurs fois les correctifs Magento. Mais j'ai un doute sur SUPEE-6788. Dois-je l’appliquer comme d’autres correctifs et, plus tard, je peux activer la fonction de routage d’administrateur dans le panneau d’administration de Magento ou lors de l’installation seulement, je dois en prendre soin. Veuillez suggérer.
Mukesh
2
@Muk oui, vous pouvez l'installer comme d'autres correctifs, mais vous devez vous méfier des extensions endommagées. Si vous utilisez certaines extensions de la liste, vous devez les corriger manuellement ou attendre la mise à jour des développeurs, jusqu'à ce que vous puissiez activer - Possibilité de routage par l'administrateur. pour les extensions
FireBear
@FireBear Pourriez-vous nous faire part de vos commentaires sur community.magento.com/t5/Version-Upgrades/… (Avant et Après dans le module personnalisé)
Mukesh
21

Dans la lignée d'autres commentaires sur la détection des conflits, ParadoxLabs a créé un script permettant de suivre tout ce qui est affecté par APPSEC-1034 (contrôleurs d'administration) et APPSEC-1057 (liste blanche). Il tentera également de réparer les mauvais contrôleurs, car il s'agit d'un changement assez précis et invasif à effectuer.

Cela ne couvre pas APPSEC-1063 (injection SQL) ou APPSEC-1079 (options personnalisées), mais ce serait bien s'il le pouvait. Vous ne savez pas comment les détecter avec une précision quelconque. Nous sommes ouverts aux contributions.

https://github.com/rhoerr/supee-6788-toolbox

Ryan Hoerr
la source
3
cela semble vraiment utile, bon travail!
jeudi
fixWhitelists ajoute des blocs aux listes blanches mais ne semble pas faire la même chose pour les variables - pouvez-vous confirmer?
Zigojacko
1
@ zigojacko Il couvre les deux.
Ryan Hoerr
Oui, compris en essayant. Excellent travail, super travail par ParadoxLabs :)
zigojacko
Respect à ParadoxLabs. Cet outil permet d’économiser beaucoup de travail.
DarkCowboy
5

Ce script php pourrait être utile pour identifier le code Magento affecté par le correctif SUPEE-6788 proposé .

Il ne s'agit en aucun cas d'une vérification de sécurité à toute épreuve pour ce correctif, mais il peut s'avérer utile d'analyser rapidement votre installation pour rechercher les modules et le code concernés.

Installez le script avec 

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

éditez le chemin de votre installation Magento

$_magentoPath='/home/www/magento/';

courir 

php magento_appsec_file_check.php

Les fichiers concernés seront affichés:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

Le script utilise grep pour rechercher dans les fichiers Magento des occurrences du code susceptibles de rompre la compatibilité avec les versions antérieures ou les personnalisations ultérieures lorsque SUPEE-6788 est appliqué.

paj
la source
4

Il y a déjà une grande liste disponible avec toutes les extensions qui vont rompre avec SUPEE-6788

Plus d'informations ici: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

Gary Olderman
la source
Je suis vraiment curieux de savoir comment cette liste a été collectée.
mam08ixo
3
Il était crowdsourced; La source d'origine est: docs.google.com/spreadsheets/d/…
Herman Slatman
Supprimez la liste de la page ci-dessus et créez un lien vers la source, qui est mise à jour: docs.google.com/spreadsheets/d/…
Aad Mathijssen
1
Y a-t-il un contact pour informer des versions mises à jour Je vois au moins 2 ou 3 modules déjà mis à jour.
versedi
-1

La liste des variables autorisées pouvant être traitées via le filtre de contenu est plus longue que celle indiquée dans le PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(J'ai ajouté un +avant les variables qui n'étaient pas décrites dans le PDF)

Les blocs autorisés pouvant être traités via le filtre de contenu sont les suivants:

core/template
catalog/product_new
Daniel van der Garde
la source