Cómo verificar qué módulos están afectados por el parche de seguridad SUPEE-6788

71

El 27 de octubre de 2015, Magento lanzó el parche de seguridad SUPEE-6788. De acuerdo con los detalles técnicos , 4 APPSEC que se han solucionado requieren algunos cambios en los módulos locales y comunitarios:

APPSEC-1034, abordando eludiendo la URL de administración personalizada (deshabilitada de manera predeterminada)
APPSEC-1063, abordando la posible inyección SQL
APPSEC-1057, el método de procesamiento de plantillas permite el acceso a información privada
APPSEC-1079, abordando el potencial exploit con un tipo de archivo de opción personalizado

Me preguntaba cómo verificar qué módulos están afectados por este parche de seguridad.

Se me ocurrió la siguiente solución parcial:

APPSEC-1034: busque <use>admin</use>en config.xml de todos los módulos locales y comunitarios. Creo que esto debería enumerar todos los módulos afectados por este problema.
APPSEC-1063: busca addFieldToFilter('(y addFieldToFilter('`en todos los archivos PHP de módulos locales y comunitarios. Esto está incompleto, ya que las variables también se pueden usar.
APPSEC-1057: busque {{config path=y {{block type=en todos los archivos PHP de módulos locales y comunitarios, y filtre todos los elementos de la lista blanca. Sin embargo, esto está incompleto, ya que no contiene ninguna variable de plantilla agregada por los administradores.
APPSEC-1079: ni idea.

También hay una lista de extensiones que son vulnerables para APPSEC-1034 y APPSEC-1063 compiladas por Peter Jaap Blaakmeer

— Aad Mathijssen
fuente

No tengo idea de cómo contactar a @PeterJaapBlaakmeer pero tengo una extensión que necesita agregarse a la lista: FreeLunchLabs ConstantContact para el problema de la URL del administrador

— David Wilkins

66

¿A quién se le ocurrió alguna de estas soluciones? ¿De repente habrá un tipo de bloque y una lista blanca variable? Actualizar Magento siempre ha sido una molestia, pero un buen trabajo para Magento por hacerlo aún más doloroso.

— Agop

66

Je, Magento, el regalo que sigue dando. Acabo de terminar de actualizar TODOS los módulos para la compatibilidad 1.9.2.1. Los desarrolladores de módulos de apuestas simplemente saltan de alegría o corren gritando por las colinas.

— Fiasco Labs

3

en este momento, parche pospuesto para la próxima semana: posponga el lanzamiento del parche de seguridad hasta principios de la próxima semana y modifique el parche para que los cambios de enrutamiento de administrador estén desactivados de manera predeterminada. Esto significa que el parche incluirá la solución, pero que se desactivará cuando se instale. La nueva fecha de lanzamiento y los cambios en el parche le darán algo de tiempo adicional para realizar actualizaciones a su código y les dará a los comerciantes flexibilidad para activar esta parte del parche una vez que sus extensiones y personalizaciones se hayan actualizado para trabajar con él.

— FireBear

1

PATCH ha sido lanzado magento.com/security/patches/supee-6788-technical-details

— Mukesh

55

SUPEE-6788 lanzado y cambios de enrutamiento de administrador desactivados por defecto. Esto significa que el parche incluye la corrección, pero que se desactivará cuando se instale. Esto le dará algo de tiempo adicional para actualizar su código y le dará a los comerciantes flexibilidad para activar esta parte del parche una vez que sus extensiones y personalizaciones se hayan actualizado para trabajar con él.

Para habilitar la capacidad de enrutamiento de administrador para extensiones después de instalar la ruta, vaya a Admin -> Avanzado -> Admin -> Seguridad.

¡Los parches Magento CE 1.4-1.6 se retrasan y deberían estar disponibles en aproximadamente una semana!

SUPEE-6788 Lista de recursos

Detalles oficiales y descarga SUPEE-6788 - http://magento.com/security/patches/supee-6788 y https://www.magentocommerce.com/download
Cómo aplicar la discusión SUPEE-6788 con consejos útiles : https://magento.meta.stackexchange.com/a/734/2282
Instale SUPEE-6788 sin SSH - https://magentary.com/kb/install-supee-6788-without-ssh/
SUPEE-6788 para CE 1.7.0.1 - 1.9.2.1 en GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE
SUPEE-6788 para EE 1.12.x - 1.14.x en GitHub - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE
SUPEE-6788 y compatibilidad con versiones anteriores : https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf
Lista actualizada de extensiones impulsadas por la comunidad que se romperán con SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/htmlview?sle gid = 0
Comandos útiles de Magerun https://github.com/peterjaap/magerun-addons
- n98-magerun dev: template-var - Encuentra vars / bloques no incluidos en la lista blanca para que sean compatibles con SUPEE-6788 y Magento 1.9.2.2
- n98-magerun.phar dev: old-admin-routing - Encuentre extensiones que usen el enrutamiento de administrador antiguo (que no es compatible con SUPEE-6788 y Magento 1.9.2.2)
Compruebe si la tienda está parcheada / afectada - https://www.magereport.com/
Algunos bloques personalizados en la página principal han desaparecido después de la instalación del parche - APPSEC-1057 Cómo agregar variables o bloques a las tablas de la lista blanca y https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-custom-blocks-issue /
Magento SUPEE-6788 Developer Toolbox : encuentre y resuelva automáticamente los principales problemas del parche https://github.com/rhoerr/supee-6788-toolbox
CLI de MageDownload: una herramienta PHP para automatizar el lanzamiento de Magento y descargas de parches : https://github.com/steverobbins/magedownload-cli
Cómo incluir en la lista blanca variables y bloques de plantilla para SUPEE-6788 - https://gist.github.com/avoelkl/f99e95c8caad700aee9
Verifique los archivos de Magento para conocer el código afectado de appsec conocido : https://github.com/Schrank/magento-appsec-file-check
Problemas comunes con la instalación del parche SUPEE 6788 Magento - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/
Mejora del rendimiento del parche Magento SUPEE-6788 - https://github.com/EcomDev/SUPEE6788-PerformanceFix , https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e , Detalles - http://www.magecore.com/blog / noticias / problemas-rendimiento-magento-security-patch-supee-6788

— FireBear
fuente

Para cualquier módulo "no se arreglará", ¿podemos documentar lo que en general se necesita cambiar para que estos módulos se puedan parchear manualmente para que funcionen con 6788? Por ejemplo, "eliminar X de todas las addFieldToFilterllamadas".

— Tyler V.

1

El parche ha sido lanzado. Por favor actualice su respuesta.

— 7ochem

@FireBear Ya he aplicado parches de Magento en el pasado muchas veces. Pero tengo una duda sobre SUPEE-6788. ¿Debo aplicarlo como otros parches y luego puedo habilitar la capacidad de enrutamiento de administrador en el panel de administración de Magento o solo durante el tiempo de instalación solo tengo que cuidarme? Por favor recomiende.

— Mukesh

2

@Muk, sí, puede instalarlo como otros parches, pero debe tener cuidado con las extensiones rotas, si usa algunas extensiones de la lista, debe arreglarlas manualmente o esperar la actualización de los desarrolladores, hasta que pueda habilitarlo - Capacidad de enrutamiento de administrador para extensiones

— FireBear

@FireBear ¿Podría darnos su opinión sobre community.magento.com/t5/Version-Upgrades/… (Antes y después en el módulo personalizado)

— Mukesh

21

En línea con otros comentarios sobre la detección de conflictos, en ParadoxLabs hemos creado un script para rastrear todo lo afectado por APPSEC-1034 (controladores de administrador) y APPSEC-1057 (lista blanca). También intentará reparar cualquier controlador malo, ya que es un cambio bastante preciso e invasivo.

No cubre APPSEC-1063 (inyección SQL) o APPSEC-1079 (opciones personalizadas), pero sería genial si pudiera. No estoy seguro de cómo detectarlos con algún tipo de precisión. Estamos abiertos a contribuciones.

https://github.com/rhoerr/supee-6788-toolbox

— Ryan Hoerr
fuente

3

esto parece realmente útil, buen trabajo!

— paj

fixWhitelists agrega bloques a las listas blancas, pero no parece hacer lo mismo con las variables, ¿podría confirmar?

— zigojacko

1

@zigojacko Cubre ambos.

— Ryan Hoerr el

Sí, descubrí esto dándole una oportunidad. Excelente trabajo, super trabajo por ParadoxLabs :)

— zigojacko

Respeto a ParadoxLabs. Esa herramienta está ahorrando una gran cantidad de trabajo.

— DarkCowboy

5

Este script php podría ser útil para identificar el código de Magento afectado por el parche SUPEE-6788 propuesto .

Esta no es una verificación de seguridad infalible para este parche, pero puede ser útil para escanear rápidamente su instalación en busca de los módulos y el código afectado.

Instale el script con

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

edite la ruta a su instalación de Magento

$_magentoPath='/home/www/magento/';

correr

php magento_appsec_file_check.php

Se mostrarán los archivos afectados:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

La secuencia de comandos utiliza grep para buscar en los archivos de Magento las apariciones del código que pueden romper la compatibilidad con personalizaciones o extensiones cuando se aplica SUPEE-6788.

— paj
fuente

4

Ya hay una gran lista disponible con todas las extensiones que romperán con SUPEE-6788

Más información aquí: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

— Gary Olderman
fuente

Tengo mucha curiosidad por saber cómo se recopiló esta lista.

— mam08ixo

3

Fue de crowdsourcing; la fuente original es: docs.google.com/spreadsheets/d/…

— Herman Slatman

Elimine la lista de la página anterior y, en su lugar, enlace a la fuente, que se mantiene actualizada: docs.google.com/spreadsheets/d/…

— Aad Mathijssen

1

¿Hay algún contacto para informar sobre versiones actualizadas? Veo al menos 2-3 módulos que ya se actualizaron.

— versedi

-1

La lista de variables permitidas, que se pueden procesar a través del filtro de contenido, es más grande de lo que se muestra en el PDF:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(He agregado un +antes de las variables que no se describieron en el PDF)

Los bloques permitidos que se pueden procesar a través del filtro de contenido son:

core/template
catalog/product_new

— Daniel van der Garde
fuente