Magento swf XSS भेद्यता - इसे कैसे संबोधित करें?

12

प्रति SWF / फ्लैश भेद्यता में सूचीबद्ध: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

जो मैंने सत्यापित किया है वह अभी भी Magento 1.9.1.0 में मौजूद है, इसे संबोधित करने का सबसे अच्छा तरीका क्या है? इन swf फ़ाइलों तक पहुँच को अवरुद्ध या प्रतिबंधित करने के साथ कोई समस्या?

magento-1.9  adminhtml  security  skin 
रोब मंगियाफिको
स्रोत
2
पिओत्र कमिंसकी के अनुसार इसे 1.9.1.0 में पैच किया गया था। twitter.com/molotovbliss/status/537257580322488320
B00MER
ठीक है, मुझे लगता है कि मैं देख रहा हूं कि मुझे क्यों लगा कि 1.9.1.0 अभी भी असुरक्षित था। मैंने इसे कुछ Magento स्टोर्स पर टेस्ट किया, जो 1.9.0.1 से अपग्रेड किए गए और फ़ाइल एडिटर .swf (जो 1.9.1.0 में उपयोग नहीं किया गया है) अभी भी पुराने संस्करणों से था, इसलिए इसने अभी भी अलर्ट दिखाया। appcheck uploader.swf और uploaderSingle.swf को असुरक्षित के रूप में सूचीबद्ध करता है, लेकिन मैं इन फ़ाइलों का उपयोग करके किसी भी संस्करण पर प्रदर्शित होने के लिए अलर्ट प्राप्त नहीं कर सकता। मैं देख रहा हूँ 1.9.1.0 दोनों अपलोडर swf फ़ाइलों को अपग्रेड किया गया है, इसलिए ऐसा लगता है कि वे पैच किए गए हैं। 1.9.0.1 और पुराने संस्करणों के लिए, क्या कोई पैच / वर्कअराउंड है जिसे अपग्रेड करने के अलावा जोखिम को कम करने के लिए इस्तेमाल किया जा सकता है?
रोब मंगियाफिको
आप कोशिश कर सकते हैं और दो .swf फ़ाइलों को बदल सकते हैं और देख सकते हैं कि क्या यह किसी भी कार्यक्षमता को नहीं तोड़ता है, अगर ऐसा होता है तो पैच करने के लिए कोड हो सकता है। दुर्भाग्य से ऐसा नहीं लगता कि मैगेंटो के पास पुराने रिलीज पर इसके लिए एक आधिकारिक पैच है।
B00MER

जवाबों:

10

यह शायद 100% वैध स्टैक एक्सचेंज का जवाब नहीं है क्योंकि मैं पूर्ण समाधान प्रदान नहीं कर सकता, लेकिन मुझे लगता है कि यह कुछ भी नहीं से बेहतर है।

एंटरप्राइज सपोर्ट से एक पैच है जो समस्या को हल करता है। मुझे पैच प्रकाशित करने की अनुमति नहीं है, लेकिन यदि आप एक एंटरप्राइज़ ग्राहक हैं, तो आप पैच के लिए पूछ सकते हैं क्योंकि यह कुछ सीई संस्करणों के साथ भी संगत है।

यहाँ कुछ जानकारी है जो मुझे आशा है कि मैं बिना किसी परेशानी के साझा कर सकता हूँ:

पैच दो SWF फ़ाइलों को हटाता है और अपलोडर SWF को संशोधित करता है।

मुझे बताया गया था कि प्रदान किया गया पैच इन CE संस्करणों के साथ संगत है:

  • 1.4। *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

इसके अलावा यह सभी ईई संस्करणों के साथ संगत है <1.14.0.0 इसलिए मुझे लगता है कि पैच ईई 1.14 में शामिल है। यह समझ में आएगा कि यह सीई 1.9 में भी शामिल है।

[अद्यतन] मुझे समर्थन द्वारा सूचित किया गया था कि पैच को 1.9.1.1 में शामिल किया गया है। तो समाधान सीई 1.9.1.0 को अद्यतन करने के लिए होना चाहिए या सीधे मैगेंटो से इस पैच का अनुरोध करना चाहिए।

मथायस ज़ीस
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.