Magento सुरक्षा पैच SUPEE-6482, क्या पैच किया गया है?

आज ०४.० Today.२०१५ को एक नया सुरक्षा पैच जारी किया गया था, कुछ सहयोगियों और मैं पैच की जाँच कर रहे थे, और क्या बदल गया है के बारे में कुछ चर्चा करने के लिए हमेशा अच्छा होता है, किसी को भी पता है कि संभावित हमले क्या हैं जो दुकान को प्रभावित और अप्रकाशित कर सकते हैं? सबसे खराब क्या हो सकता है?

अपडेट: मैं सिर्फ पोस्ट को पूरा करने के लिए आज भेजे गए ईमेल मैगनेटो को जोड़ना चाहता था।

वास्तविक सुरक्षा पैच ( SUPEE-6482 ) केवल दो निम्न फ़ाइलों को प्रभावित करता है और एक एपीआई पैच है।

app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
app/code/core/Mage/Catalog/Model/Product/Api/V2.php

पूर्ण 1.9.2.1 स्थापित पूरी तरह से एक अलग मामला है। मैं अन्य दो वस्तुओं का पता लगाने के लिए 1.9.2.0 और 1.9.2.1 के बीच स्रोत कोड को अलग करूंगा।

रिलीज़ नोट्स पूर्ण इंस्टॉलर के लिए हैं, आपको पैच को यह देखने के लिए देखना होगा कि क्या इसमें वास्तव में रिलीज़ नोटों में उल्लिखित सभी आइटम शामिल हैं या नहीं।

एक अप्रकाशित सर्वर चलाने के निहितार्थ:

1. क्रॉस-साइट स्क्रिप्टिंग का उपयोग अनवेलिड हेडर्स => कैश पॉइज़निंग के साथ
2. Magento SOAP API => दूरस्थ कोड ऑटोलॉड में स्वतः शामिल फ़ाइल
3. उपहार रजिस्ट्री खोज में XSS => कुकी चोरी और उपयोगकर्ता प्रतिरूपण
4. WSDL फ़ाइल में SSRF भेद्यता => आंतरिक सर्वर जानकारी रिसाव और दूरस्थ फ़ाइल समावेशन

नोट: फ़ाइलों को पैच, हम्म के साथ पैच नहीं किए गए पूर्ण इंस्टॉल आर्काइव में पैच किया गया है?

diff -r magento-1920/app/code/core/Mage/Core/Controller/Request/Http.php magento-1921/app/code/core/Mage/Core/Controller/Request/Http.php
300a301
>         $host = $_SERVER['HTTP_HOST'];
302,303c303,304
<             $host = explode(':', $_SERVER['HTTP_HOST']);
<             return $host[0];
---
>             $hostParts = explode(':', $_SERVER['HTTP_HOST']);
>             $host =  $hostParts[0];
305c306,313
<         return $_SERVER['HTTP_HOST'];
---
> 
>         if (strpos($host, ',') !== false || strpos($host, ';') !== false) {
>             $response = new Zend_Controller_Response_Http();
>             $response->setHttpResponseCode(400)->sendHeaders();
>             exit();
>         }
> 
>         return $host;

diff -r magento-1920/app/design/frontend/base/default/template/page/js/cookie.phtml magento-1921/app/design/frontend/base/default/template/page/js/cookie.phtml
37,38c37,38
< Mage.Cookies.path     = '<?php echo $this->getPath()?>';
< Mage.Cookies.domain   = '<?php echo $this->getDomain()?>';
---
> Mage.Cookies.path     = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getPath()) ?>';
> Mage.Cookies.domain   = '<?php echo Mage::helper('core')->jsQuoteEscape($this->getDomain()) ?>';

मैंने विस्तार से परिवर्तनों पर एक नज़र डाली थी और कौन से दुष्प्रभाव होने की उम्मीद है।

EE 1.13.1.0 के संस्करण में निम्नलिखित फाइलें बदल गईं:

2015-08-05 07:14:25 UTC | SUPEE-6482_EE_1.13.1.0 | EE_1.13.1.0 | v2 | 7e38036f94f250514fcc11d066a43c9bdb6a3723 | Tue Jul 28 14:29:35 2015 +0300 | v1.13.1.0..HEAD
patching file app/code/core/Enterprise/PageCache/Model/Processor.php
patching file app/code/core/Mage/Api/Model/Server/Adapter/Soap.php
patching file app/code/core/Mage/Catalog/Model/Product/Api/V2.php
patching file app/code/core/Mage/Core/Controller/Request/Http.php
Hunk #1 succeeded at 294 (offset 7 lines).
patching file app/design/frontend/base/default/template/page/js/cookie.phtml
patching file app/design/frontend/enterprise/default/template/giftregistry/search/form.phtml

• में Adapter/Soap.php, urlencoding को प्रमाणीकरण डेटा में जोड़ा जाता है। इसका कोई नकारात्मक दुष्प्रभाव नहीं होना चाहिए। यह सुनिश्चित करता है, कि परिणाम wsdlUrlमान्य है। इस परिवर्तन के बिना, कोई भी URL को प्रभावित कर सकता है
• Product/Api/V2.php: यहाँ कुछ जाँचें दी गई हैं कि यदि पास किया गया डेटा एक ऑब्जेक्ट है। यह सामान्य परिस्थितियों में नहीं होना चाहिए।
• में Request/Http.phpऔर PageCache/Model/Processor.phpएक जांच जब HTTP होस्ट रही जोड़ा जाता है। यह उल्लिखित हेडर इंजेक्शन को कवर करता है। अगर वहाँ एक है की जांच ही लागू होता है ;या ,HTTP मेजबान में है, इसलिए इस वास्तविक जीवन प्रणालियों में हितैषी होना चाहिए / कोई नकारात्मक पक्ष प्रभाव है।
• में cookie.phtmlएस्केपिंग जोड़ा जाता है। यदि आप उस फ़ाइल को अधिलेखित करते हैं, तो इसे आपके विषय में अग्रेषित किया जाना चाहिए
• के लिए समान है giftregistry/search/form.phtml

यह योग करने के लिए, मैं कहूंगा कि पैच लगाने से कोई नकारात्मक दुष्प्रभाव नहीं होना चाहिए। अपनी .phtmlफ़ाइलों में परिवर्तनों को अग्रेषित करना याद रखें ।

अजीब बात यह है कि ईई पैच में निम्नलिखित फाइलों पर संशोधन हैं:

app/code/core/Mage/Core/Controller/Request/Http.php
app/design/frontend/base/default/template/page/js/cookie.phtml

जब CE एक समान संस्करण के लिए नहीं करता है।

मुझे लगता है कि उस SUPEE-6482सीई संस्करण पर कुछ गायब है , और एक वी 2 जल्द ही जारी किया जा सकता है।

संस्करण सीई और ईई में नीचे के मुद्दे के लिए फिक्स के लिए मैगेंटो रिलीज पैच SUPEE-6482

Magento के सामुदायिक संस्करण के लिए:

• Magento SOAP API में ऑटोलॉइड फ़ाइल इंक्लूजन
• डब्लूएसडीएल फ़ाइल में एसएसआरएफ भेद्यता

Magento एंटरप्राइज़ संस्करण के लिए

• Magento SOAP API में ऑटोलॉइड फ़ाइल इंक्लूजन
• डब्लूएसडीएल फ़ाइल में एसएसआरएफ भेद्यता
• क्रॉस-साइट स्क्रिप्टिंग का उपयोग अनवेलिड हेडर्स के साथ

उपहार रजिस्ट्री खोज में XSS

कक्षा में परिवर्तन करना

• Mage_Api_Model_Server_Adapter_Soap

• Mage_Catalog_Model_Product_Api_V2

Mage_Api_Model_Server_Adapter_Soap पर परिवर्तन

             : $urlModel->getUrl('*/*/*');

         if ( $withAuth ) {
-            $phpAuthUser = $this->getController()->getRequest()->getServer('PHP_AUTH_USER', false);
-            $phpAuthPw = $this->getController()->getRequest()->getServer('PHP_AUTH_PW', false);
-            $scheme = $this->getController()->getRequest()->getScheme();
+            $phpAuthUser = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_USER', false));
+            $phpAuthPw = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_PW', false));
+            $scheme = rawurlencode($this->getController()->getRequest()->getScheme());

             if ($phpAuthUser && $phpAuthPw) {
                 $wsdlUrl = sprintf("%s://%s:%s@%s", $scheme, $phpAuthUser, $phpAuthPw,

Mage_Catalog_Model_Product_Api_V2 पर परिवर्तन करें

     public function create($type, $set, $sku, $productData, $store = null)
     {
-        if (!$type || !$set || !$sku) {
+        if (!$type || !$set || !$sku || !is_object($productData)) {
             $this->_fault('data_invalid');
         }

@@ -243,6 +243,9 @@ class Mage_Catalog_Model_Product_Api_V2 extends Mage_Catalog_Model_Product_Api
      */
     protected function _prepareDataForSave ($product, $productData)
     {
+        if (!is_object($productData)) {
+            $this->_fault('data_invalid');
+        }
         if (property_exists($productData, 'website_ids') && is_array($productData->website_ids)) {
             $product->setWebsiteIds($productData->website_ids);
         }

अधिक देखें: http://www.amitbera.com/magento-security-patch-supee-6482/

कृपया इस रिलीज़ पर Magento के दस्तावेज़ पढ़ें, इसका उत्तर है: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento-release-notes-ce-1.9.2.1.html

अन्य हालिया पैच की तरह, इस पैच में बहुत अधिक कॉपी, लाइसेंस और टाइपो फिक्स हैं। मैंने जो कुछ देखा है, उसमें से कुछ टाइपो का भी परिचय दिया।

वास्तविक सुरक्षा पैच भाग 4 अलग-अलग संभावित हमलों के लिए उपयोगकर्ता इनपुट सैनिटाइजेशन को संबोधित करता है।