संक्षेप में, हाँ। सीई 1.7 अभी भी उन विशिष्ट हमलों के लिए असुरक्षित है क्योंकि कोई भी सुरक्षा जारी नहीं की गई है जिसमें पैच शामिल है।
बाद वाले एक के मामले में, एक सत्र निर्धारण हमला, परिवर्तन सुरक्षा प्रथाओं में एक उन्नयन है जो मैगेंटो पहले से ही वर्तमान सुरक्षा सर्वोत्तम प्रथाओं के अनुरूप रहने के लिए उपयोग करता था। यदि वे सीएसआरएफ फिक्स के साथ एक पैच जारी करते हैं, तो सीई 1.7 को जारी किए जाने की संभावना नहीं है।
असली सवाल यह है कि वास्तव में ये सीएसआरएफ भेद्यताएं क्या थीं जो तय की गई थीं? निस्संदेह एक अच्छी बात यह है कि उन्होंने जारी नोटों में बारीकियों को शामिल नहीं किया, इस प्रकार सभी पूर्व रिलीज को खतरे में डाल दिया, लेकिन पुराने कार्यान्वयन को पचाने के लिए यह जानना अच्छा होगा।
अद्यतन # 1:
मैगेंटो तक पहुंचने पर यह पता लगाने के लिए कि वे उपरोक्त कमजोरियों के लिए पैच कब जारी करेंगे, मुझे निम्न उत्तर मिला:
मुझे आगे अनुसंधान के लिए कुछ समय देने की अनुमति दें। मुझे यकीन नहीं है कि उन दो वस्तुओं के लिए पैच उपलब्ध हैं, क्योंकि वे हमारे सिस्टम में उत्पाद संवर्द्धन के रूप में सूचीबद्ध हैं और बग के रूप में नहीं। अधिक जानकारी मिलने पर मैं आपको अपडेट करूंगा।
मैं आगे के विवरण यहाँ पोस्ट करूँगा क्योंकि मैं उन्हें प्राप्त करता हूँ, और पैच जारी करने के लिए अपनी पूरी कोशिश करूँगा क्योंकि ऐसा लगता है कि वर्तमान में कोई पैच मौजूद नहीं हैं।
अद्यतन # 2: समर्थन टीम के साथ आगे और पीछे के बाद, मैं Magento EE 1.12.0.2 के लिए एक उचित पैच प्राप्त करने में सक्षम था। Magento CE 1.7.0.2 के लिए कोई पैच जारी नहीं किया गया था, और जहाँ तक तकनीशियन जो आंतरिक रूप से मेरे लिए देखते थे, जानते हैं, CE 1.7 के लिए एक आधिकारिक पैच जारी करने की कोई योजना नहीं है। केवल आगामी CE 1.8 में मुद्दों को हल करने के बजाय। स्थिर निस्तार।
ईई विशिष्ट पैच फ़ाइल के रूप में, मैं इसे (या पैच एप्लिकेशन टूल) सीधे यहां पोस्ट नहीं कर सकता क्योंकि यह सबसे निस्संदेह मैगेंटो और स्वयं के बीच एनडीए के उल्लंघन में होगा और जिस कंपनी के लिए मैं काम करता हूं। प्रासंगिक पैच का नाम है: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - यदि आपके पास एंटरप्राइज़ संस्करण या इसका उपयोग करने वाला ग्राहक है, तो आपको इस नोट के बारे में एक नोट के साथ Magento सहायता से इस पैच का अनुरोध करने में सक्षम होना चाहिए: CSRF भेद्यता जो इसे ठीक करना है।
CE 1.7.0.2 उपयोगकर्ताओं के लिए, मैंने एक पैच फ़ाइल (Magento द्वारा प्रदान किए गए पैच के आधार पर) उत्पन्न करने की स्वतंत्रता ली है, जिसमें केवल कोड के ढेर शामिल हैं जो Magento CE 1.7.0.2 कोर कोड फ़ाइलों को बदलते हैं। सामान्य फैशन में, इसमें संबंधित टिप्पणियों के अप्रासंगिक बिट्स और संबंधित कोड परिवर्तनों के साथ समायोजित स्वरूपण शामिल हैं। इसे आवश्यक रूप से बनाने के लिए मूल पैच को बदलने के लिए प्रदान किए गए पैच एप्लायंस टूल का उपयोग करके इसे लागू करने के लिए, फिर लागू परिवर्तनों के आधार पर एक पैच उत्पन्न करने के लिए गिट का उपयोग करना।
पैच फ़ाइल जो मैंने बनाई है उसे इस gist से डाउनलोड किया जा सकता है: https://gist.github.com/davidalger/5938568
पैच को लागू करने के लिए, पहले अपने Magento इंस्टॉलेशन के रूट में cd और निम्न कमांड चलाएँ: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE विशिष्ट पैच में एंटरप्राइज़ विशिष्ट नियंत्रकों, एंटरप्राइज़ / डिफ़ॉल्ट और एंटरप्राइज़ / iphone टेम्प्लेट में परिवर्तन को कुंजी सत्यापन जाँच शामिल किया गया था ताकि पैच नियंत्रक गतिविधियों के लिए उपयोग किए जा रहे फ़ॉर्म में फ़ॉर्म कुंजियों को शामिल किया जा सके, और अतिरिक्त पूर्ण पृष्ठ कैश फ़ंक्शनलिटी को ठीक से खाते में रखा जा सके। कैश्ड पृष्ठों पर आगे और पीछे फॉर्म की चाबियां।
अस्वीकरण: मैं Magento द्वारा प्रदान की गई ईई पैच या तो परीक्षण नहीं किया है और न ही पैच मैं जुड़े जीआईटी को अपलोड किया है। संदर्भित gist में प्रदान किया गया पैच NO WARRANTY के साथ प्रदान किया गया है और CE 1.8 रिलीज़ नोटों में संदर्भित कमजोरियों को पूरी तरह से हल कर सकता है या नहीं भी कर सकता है। एक अनछुए पैच के रूप में, इस बात की भी कोई गारंटी नहीं है कि यह पूरे या हिस्से में काम करता है। यानी अपने जोखिम पर उपयोग करें, और उत्पादन वातावरण को लागू करने से पहले परीक्षण करने के लिए उचित परिश्रम करें। यदि आप पैच के साथ समस्या पाते हैं, तो मुझे बताएं और मैं इसे अपडेट करूंगा।