Magento swf XSS vulnerability - como resolvê-lo?

12

De acordo com a vulnerabilidade SWF / Flash listada em: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

que eu verifiquei ainda existe no Magento 1.9.1.0, qual é o melhor método para resolver isso? Algum problema com o bloqueio ou restrição de acesso a esses arquivos swf?

Rob Mangiafico
fonte
2
Segundo Piotr Kaminski, foi corrigido em 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, acho que vejo por que pensei que 1.9.1.0 ainda estava vulnerável. Testei-o em algumas lojas Magento que atualizavam a partir da 1.9.0.1 e o arquivo editor.swf (que não é usado na 1.9.1.0) ainda estava lá das versões mais antigas, por isso ainda mostrava o alerta. appcheck lista uploader.swf e uploaderSingle.swf como vulnerável, mas não consigo que o alerta apareça em nenhuma versão usando esses arquivos. Vejo 1.9.1.0 atualizado nos arquivos swf do carregador, então parece que eles estão corrigidos. Para as versões 1.9.0.1 e anteriores, existe um patch / solução alternativa que pode ser usado para reduzir os riscos, além da atualização?
Rob Mangiafico
Você pode tentar substituir os dois arquivos .swf e verificar se ele não quebra nenhuma funcionalidade; se houver, pode haver código a ser corrigido. Infelizmente, não parece que o Magento tenha um patch oficial para versões anteriores.
B00MER

Respostas:

10

Provavelmente, essa não é uma resposta 100% válida do Stack Exchange, pois não posso fornecer a solução completa, mas acho que é melhor postar isso do que nada.

Existe um patch do Enterprise Support que resolve o problema. Não tenho permissão para publicar o patch, mas se você for um cliente corporativo, poderá solicitar o patch, pois ele também é compatível com algumas versões do CE.

Aqui estão algumas informações que espero poder compartilhar sem ter problemas:

O patch exclui dois arquivos SWF e modifica os SWFs do remetente.

Foi-me dito que o patch fornecido é compatível com estas versões do CE:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Além disso, é compatível com todas as versões do EE <1.14.0.0, então acho que o patch está incluído no EE 1.14. Faz sentido que também esteja incluído no CE 1.9.

[Update] Fui informado pelo suporte que o patch foi incorporado ao CE 1.9.1. Portanto, a solução deve ser atualizar para o CE 1.9.1.0 ou solicitar esse patch diretamente do Magento.

Matthias Zeis
fonte