Hoje 08.08.2015, foi lançado um novo patch de segurança, alguns colegas e eu estávamos checando o patch, e é sempre bom ter uma discussão sobre o que mudou, também alguém sabe quais são os possíveis ataques que podem afetar a loja sem patch? Qual é o pior que poderia acontecer?
Atualização: Eu só queria adicionar o email que o magento enviou hoje para concluir a postagem.
magento-1.9
security
patches
lloiacono
fonte
fonte
magento-1921/app/code/core/Mage/Cms/Block/Block.php
emagento-1921/app/code/core/Mage/Cms/Block/Widget/Block.php
Respostas:
O patch de segurança real ( SUPEE-6482 ) afeta apenas os dois arquivos a seguir e é um patch de API.
A instalação completa 1.9.2.1 é uma questão completamente diferente. Eu diferiria o código fonte entre 1.9.2.0 e 1.9.2.1 para descobrir os outros dois itens que foram corrigidos.
As notas de versão são para o instalador completo; você deve verificar o patch para ver se ele realmente inclui todos os itens mencionados nas notas de versão.
Implicações da execução de um servidor sem patch:
NOTA: Arquivos corrigidos no arquivo de instalação completa que não foram corrigidos com o patch, hum?
fonte
Eu tenho uma olhada nas mudanças em detalhes e quais efeitos colaterais são esperados.
Na versão do EE 1.13.1.0, os seguintes arquivos foram alterados:
Adapter/Soap.php
, a urlencoding é adicionada aos dados de autenticação. Isso não deve ter efeito colateral negativo. Ele garante que o resultadowsdlUrl
seja válido. Sem essa alteração, pode-se influenciar o URLProduct/Api/V2.php
: Aqui estão algumas verificações se os dados passados são um objeto. Isso não deve acontecer em circunstâncias normais.Request/Http.php
ePageCache/Model/Processor.php
um cheque é adicionado quando chegar a HOST HTTP. Isso parece cobrir as injeções de cabeçalho mencionadas. A verificação se aplica apenas se houver um;
ou,
no host HTTP; portanto, isso deve ser crítico nos sistemas da vida real / não tem efeito colateral negativo.cookie.phtml
escape é adicionado. Portanto, isso deve ser encaminhado para o seu tema se você substituir esse arquivogiftregistry/search/form.phtml
Para resumir, eu diria que a aplicação do adesivo não deve ter efeitos colaterais negativos. Lembre-se de encaminhar a porta para as alterações nos seus
.phtml
arquivos.fonte
O estranho é que o patch EE contém modificações nos seguintes arquivos:
Quando o CE não, para uma versão equivalente.
Presumo que algo esteja faltando nessa
SUPEE-6482
versão do CE, e um V2 poderá ser lançado em breve.fonte
Patch de lançamento Magento SUPEE-6482 para correção da edição abaixo na edição CE & EE
Para o Magento Community Edition:
Para Magento Enterprise Edition
XSS na pesquisa de registro de presentes
Fazendo mudanças na aula
Mage_Api_Model_Server_Adapter_Soap
Mage_Catalog_Model_Product_Api_V2
Alterações no Mage_Api_Model_Server_Adapter_Soap
alterar em Mage_Catalog_Model_Product_Api_V2
Veja mais em:
http://www.amitbera.com/magento-security-patch-supee-6482/fonte
app/code/core/Mage/Core/Controller/Request/Http.php
eapp/design/frontend/base/default/template/page/js/cookie.phtml
estão entre os ausentes. Talvez devêssemos mudar a pergunta no topo para ler: Patch de segurança Magento SUPEE-6482, O que não está corrigido?Por favor, leia a documentação do Magento nesta versão, a resposta está disponível: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/release-notes-ce-1.9.2.1.html
fonte
Esse patch, como outros patches recentes, contém muitas correções de cópia, licença e erros de digitação. Ele também introduz alguns erros de digitação do que vi.
A parte real do patch de segurança parece tratar da higienização das entradas do usuário para 4 possíveis ataques diferentes.
fonte