Magento swf XSS kerentanan - Bagaimana cara mengatasinya?

12

Menurut kerentanan SWF / Flash yang tercantum di: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

yang telah saya verifikasi masih ada di Magento 1.9.1.0, apa metode terbaik untuk mengatasi ini? Adakah masalah dengan memblokir atau membatasi akses ke file swf ini?

magento-1.9 adminhtml security skin Rob Mangiafico
sumber
2
Menurut Piotr Kaminski itu ditambal di 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, saya pikir saya mengerti mengapa saya pikir 1.9.1.0 masih rentan. Saya mengujinya di beberapa toko Magento yang ditingkatkan dari 1.9.0.1 dan file editor.swf (yang tidak digunakan pada 1.9.1.0) masih ada di sana dari versi yang lebih lama, jadi masih menunjukkan peringatan. appcheck mendaftar uploader.swf dan uploaderSingle.swf sebagai rentan, tetapi saya tidak bisa mendapatkan peringatan untuk muncul di versi apa pun menggunakan file-file ini. Saya melihat 1.9.1.0 memutakhirkan kedua file swf pengunggah, jadi sepertinya mereka ditambal. Untuk versi 1.9.0.1 dan yang lebih lama, apakah ada tambalan / solusi yang dapat digunakan untuk mengurangi risiko selain meningkatkan?
Rob Mangiafico
Anda dapat mencoba dan mengganti dua file .swf dan melihat apakah itu tidak merusak fungsi apa pun, jika ada mungkin ada kode yang akan ditambal. Sayangnya sepertinya Magento tidak memiliki tambalan resmi untuk itu pada rilis yang lebih lama.
B00MER

Jawaban:

10

Ini mungkin bukan jawaban Stack Exchange yang 100% valid karena saya tidak dapat memberikan solusi lengkap tapi saya pikir lebih baik untuk mengirim ini daripada tidak sama sekali.

Ada tambalan dari Dukungan Perusahaan yang memecahkan masalah. Saya tidak diizinkan menerbitkan tambalan tetapi jika Anda adalah Pelanggan Perusahaan Anda bisa meminta tambalan karena itu juga kompatibel dengan beberapa versi CE.

Berikut adalah beberapa informasi yang saya harap dapat saya bagikan tanpa mendapat masalah:

Patch menghapus dua file SWF dan memodifikasi SWF pengunggah.

Saya diberi tahu bahwa patch yang disediakan kompatibel dengan versi CE ini:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Selain itu kompatibel dengan semua versi EE <1.14.0.0 jadi saya kira tambalan termasuk dalam EE 1.14. Masuk akal kalau itu juga termasuk dalam CE 1.9 lalu.

[Pembaruan] Saya mendapat informasi dari dukungan bahwa patch telah dimasukkan ke dalam CE 1.9.1. Jadi solusinya adalah memperbarui ke CE 1.9.1.0 atau meminta tambalan ini dari Magento secara langsung.

Matthias Zeis
sumber