सुरक्षा पैच SUPEE-6788 से प्रभावित होने वाले मॉड्यूल की जांच कैसे करें

27 अक्टूबर 2015 को, Magento ने सुरक्षा पैच SUPEE-6788 जारी किया है। तकनीकी विवरणों के अनुसार , 4 APPSEC के जो तय किए गए हैं, उन्हें स्थानीय और सामुदायिक मॉड्यूल में कुछ सुधार की आवश्यकता है:

• APPSEC-1034, कस्टम व्यवस्थापक URL को दरकिनार करते हुए (डिफ़ॉल्ट रूप से अक्षम)
• APPSEC-1063, संभावित एसक्यूएल इंजेक्शन को संबोधित करता है
• APPSEC-1057, टेम्पलेट प्रसंस्करण विधि निजी जानकारी तक पहुंच की अनुमति देता है
• APPSEC-1079, कस्टम विकल्प फ़ाइल प्रकार के साथ संभावित शोषण को संबोधित करता है

मैं सोच रहा था कि कैसे जांचा जाए कि कौन से मॉड्यूल इस सुरक्षा पैच से प्रभावित हैं।

मैं निम्नलिखित आंशिक समाधान के साथ आया:

• APPSEC-1034: <use>admin</use>सभी स्थानीय और सामुदायिक मॉड्यूल के config.xml में खोजें। मुझे लगता है कि इस मुद्दे से प्रभावित सभी मॉड्यूल को सूचीबद्ध करना चाहिए।
• APPSEC-1063: के लिए खोज addFieldToFilter('(और addFieldToFilter('`स्थानीय और समुदाय मॉड्यूल के सभी PHP फ़ाइलों में। यह अधूरा है, क्योंकि चर का भी उपयोग किया जा सकता है।
• APPSEC-1057: स्थानीय और सामुदायिक मॉड्यूल की सभी PHP फ़ाइलों में {{config path=और उनके लिए खोज करें {{block type=, और श्वेतसूची से सभी तत्वों को फ़िल्टर करें। यह अधूरा है, क्योंकि इसमें किसी भी तरह के टेम्पलेट को शामिल नहीं किया गया है, जो कि व्यवस्थापक द्वारा जोड़ा गया है।
• APPSEC-1079: कोई विचार नहीं।

उन एक्सटेंशनों की एक सूची भी है जो APPSEC-1034 और APPSEC-1063 पीटर जाप ब्लाकेमर द्वारा संकलित करने के लिए असुरक्षित हैं।

SUPEE-6788 जारी और व्यवस्थापक रूटिंग परिवर्तन डिफ़ॉल्ट रूप से बंद हो गए। इसका मतलब है कि पैच में फिक्स शामिल है, लेकिन यह स्थापित होने पर अक्षम हो जाएगा। इससे आपको अपने कोड में अपडेट करने के लिए कुछ अतिरिक्त समय मिलेगा और व्यापारियों को पैच के इस हिस्से को चालू करने के लिए लचीलापन मिलेगा, जब उनके एक्सटेंशन और अनुकूलन को इसके साथ काम करने के लिए अपडेट किया गया हो।

पथ पर जाने के बाद एक्सटेंशन के लिए व्यवस्थापक रूटिंग क्षमता सक्षम करने के लिए -> उन्नत -> व्यवस्थापक -> सुरक्षा पर जाएं।

Magento CE 1.4-1.6 पैच में देरी हो रही है और लगभग एक सप्ताह में उपलब्ध होना चाहिए!

SUPEE-6788 संसाधन सूची

• आधिकारिक विवरण और डाउनलोड SUPEE-6788 - http://magento.com/security/patches/supee-6788 और https://www.magentocommerce.com/download

• उपयोगी सुझावों के साथ SUPEE-6788 चर्चा कैसे लागू करें - https://magento.meta.stackexchange.com/a/7/58282

• बिना SSH के SUPEE-6788 स्थापित करें - https://magentary.com/kb/install-supee-6788-without-sh/

• सीईईई के लिए SUPEE-6788 1.7.0.1 - GitHub पर 1.9.2.1 - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• ईईई के लिए SUPEE-6788 1.12.x - 1.14.x GitHub पर - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788 और पिछड़ी संगतता - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3v6349DJsDF88FBI_6PZvx_u3FioC_1-rg.html के साथ एक्सटेंशन करने वाली समुदाय की अद्यतनों की सूची gid = 0

• मददगार मागेरुन कमांड https://github.com/peterjaap/magerun-addons

  • n98-magerun देव: टेम्प्लेट-वार - SUPEE-6788 और मैगनेटो 1.9.2.2 के साथ संगत होने के लिए गैर-श्वेतवर्णीय संस्करण / ब्लॉक खोजें।
  • n98-magerun.phar देव: पुराने-व्यवस्थापक-रूटिंग - पुराने स्टाइल के व्यवस्थापक रूटिंग का उपयोग करने वाले एक्सटेंशन ढूंढें (जो कि SUPEE-6788 और Magento 1.9.2.2 के साथ संगत नहीं है)

• जांचें कि क्या स्टोर पैच / प्रभावित है - https://www.magereport.com/

• पैच स्थापित होने के बाद सामने वाले पृष्ठ पर कुछ कस्टम ब्लॉक गायब हो गए हैं - APPSEC-1057 सफेद सूची तालिकाओं और https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee पर चर या ब्लॉक कैसे जोड़ें -6788-कस्टम ब्लॉक मुद्दा /

• Magento SUPEE-6788 डेवलपर टूलबॉक्स - पैच से प्रमुख समस्याओं को स्वचालित रूप से ढूंढें और हल करें https://github.com/rhoerr/supee-6788-toolbox

• MageDownload CLI - Magento रिलीज़ और पैच डाउनलोड को स्वचालित करने के लिए एक PHP उपकरण - https://github.com/steverobbins/magedownload-cli

• SUPEE-6788 के लिए श्वेतसूची टेम्पलेट चर और ब्लॉक कैसे करें - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• ज्ञात appsec प्रभावित कोड के लिए Magento फ़ाइलों की जाँच करें - https://github.com/Schrank/magento-appsec-file-check

• SUPEE 6788 Magento पैच स्थापना के साथ सामान्य मुद्दे - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• Magento Patch SUPEE-6788 के लिए प्रदर्शन में सुधार - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddd39bd6a39c4e , विवरण - http://www.magecore.com/blog / समाचार / प्रदर्शन मुद्दों-Magento-सुरक्षा-पैच-Supee-6788

संघर्षों का पता लगाने के बारे में अन्य टिप्पणियों की तर्ज पर, हमने ParadoxLabs में APPSEC-1034 (व्यवस्थापक नियंत्रकों) और APPSEC-1057 (श्वेतसूची) से प्रभावित हर चीज को ट्रैक करने के लिए एक स्क्रिप्ट बनाई है। यह किसी भी बुरे नियंत्रकों को ठीक करने का भी प्रयास करेगा, क्योंकि यह काफी सटीक और आक्रामक परिवर्तन है।

यह APPSEC-1063 (SQL इंजेक्शन) या APPSEC-1079 (कस्टम विकल्प) को कवर नहीं करता है, लेकिन यह बहुत अच्छा होगा यदि आप इसे कर सकते हैं। निश्चित नहीं है कि किसी भी प्रकार की सटीकता के साथ उन लोगों का पता कैसे लगाया जाए। हम योगदान के लिए खुले हैं।

https://github.com/rhoerr/supee-6788-toolbox

यह php स्क्रिप्ट प्रस्तावित SUPEE-6788 पैच से प्रभावित Magento कोड की पहचान करने में उपयोगी हो सकती है ।

यह किसी भी तरह से इस पैच के लिए एक फुलप्रूफ सिक्योरिटी चेक नहीं है , लेकिन इससे प्रभावित मॉड्यूल और कोड को जल्दी से स्कैन करने के लिए उपयोगी हो सकता है।

के साथ स्क्रिप्ट स्थापित करें

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

अपने Magento की स्थापना के लिए पथ संपादित करें

$_magentoPath='/home/www/magento/';

Daud

php magento_appsec_file_check.php

प्रभावित फ़ाइलों को प्रदर्शित किया जाएगा:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

स्क्रिप्ट कोड की घटनाओं के लिए मैगेंटो फ़ाइलों को खोजने के लिए grep का उपयोग करता है जो संभवतः SUPEE-6788 लागू होने पर अनुकूलन या एक्सटेंशन के साथ पिछड़े संगतता को तोड़ सकता है।

सभी एक्सटेंशन के साथ पहले से ही एक बड़ी सूची उपलब्ध है जो SUPEE-6788 के साथ टूट जाएगी

यहां अधिक जानकारी: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/itit#gid=0

अनुमत चर की सूची, जिसे सामग्री फ़िल्टर के माध्यम से संसाधित किया जा सकता है, पीडीएफ में दिखाए गए से बड़ा है:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(मैंने +पीडीएफ में वर्णित चर से पहले जोड़ा है )

सामग्री ब्लॉक के माध्यम से संसाधित किए जा सकने वाले अनुमत ब्लॉक निम्न हैं:

core/template
catalog/product_new