Исправление безопасности SUPEE-10266 - Возможные проблемы?

Новое исправление безопасности для Magento 1, устраняющее 13 проблем APPSEC

https://magento.com/security/patches/supee-10266

Какие распространенные проблемы вы должны остерегаться при применении этого патча?

SUPEE-10266, Magento Commerce 1.14.3.6 и Open Source 1.9.3.6 содержат множество улучшений безопасности, которые помогают закрыть подделку межсайтовых запросов (CSRF), несанкционированную утечку данных и проверенные уязвимости удаленного выполнения кода пользователем Admin. Эти выпуски также включают исправления для проблем с перезагрузкой изображения и платежами, используя одноэтапную проверку.

Некоторой важной информацией поделитесь здесь. Большинство файлов из бэкэнда Magento. Список файлов:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

Главное, нужно проверить эти три файла.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

app / code / core / Mage / Checkout / controllers / CartController.php проверка дополнительных условий идентификатор клиента :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

добавлен app / code / core / Mage / Sales / Model / Resource / Order / Item / Collection.php Дополнительный метод addFilterByCustomerId в коллекции.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

Приложение / код / ​​ядро ​​/ Mage / Ядро / Модель / Файл / Оценщик / image.php

если 'general / reprocess_images / active' false, тогда пропустите повторную обработку изображения. ПРИМЕЧАНИЕ. Если вы отключите повторную обработку изображений, процесс загрузки изображений может вызвать угрозу безопасности.

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Надеюсь, это будет полезно. я думаю

EE 1.14.2.4

Опечатка в строке 726 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Патч пропускает 2 файла интерфейса:

Исправленный:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Не исправлено:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml

Также не забудьте проверить локальные переопределения ... Мне пришлось вручную исправлять переопределение локального кодового пула app\design\adminhtml\default\default\template\sales\order\view\info.phtml

См quasiobject ответ «s для OnePage вопроса проверки. Создан тикет поддержки предприятия, ожидающий ответа от Magento. Если вы не хотите ждать обновленного патча, потенциальное исправление состоит в том, чтобы модифицировать app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmlстатический элемент else, включив в него элемент form_key следующим образом:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...

CE 1.9.2.4

Опечатка в строке 694 патча: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Расширение TrueOrderEdit должно быть исправлено ... изменения echo $_groupNameв echo $this->escapeHtml($_groupName)следующие файлы:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml

Наконец, этот основной файл шаблона, вероятно, также должен быть исправлен тем же обновлением $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml

Все версии 1.X

Если вы удалили /downloaderпапку (или /downloader/template) из своей кодовой базы, то вам, возможно, придется вручную отредактировать файл патча .sh и удалить последний раздел, начиная сdiff --git downloader/template/login.phtml downloader/template/login.phtml

Что касается ошибки « Неверный секретный ключ» , см. Мой ответ здесь: Magento 1.9 Неверный секретный ключ. Пожалуйста, обновите страницу

Мы в MageHost.pro обнаружили проблему в патче для Magento 1.9.1.1, файл патчаPATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Ошибка:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Я исправил это, заменив строки 454-472 на 454-471 из PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Старый код, строка 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Новый код, строки 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

В этом патче добавлен только один ключ формы.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Поэтому, если у вас возникнут трудности с удалением виджета из панели администратора, убедитесь, что блок удаления генерирует ваш URL-адрес удаления, и что у вас нет переопределений этого блока.

Невозможно оформить заказ на EE 1.11+

В app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlформе ключ проверки кода был удален, и он нарушает всю проверку, более подробную информацию здесь: https://magento.stackexchange.com/a/193442/2380

Обходной путь на данный момент (поскольку V2 для EE 1.11+ будет выпущен для решения этой проблемы): откат файла шаблона для обоих enterprise/defaultи rwd/entrepriseтем.

Различия между патчем и версией

РЕДАКТИРОВАТЬ: 1.9.3.6 был выпущен, поэтому эта информация больше не актуальна

Одна из основных проблем, которая была поднята на данный момент, заключается в том, что в 1.9.3.5 отсутствуют три исправления безопасности из исправления. Поэтому я настоятельно рекомендую только патчить, но не обновлять до 1.9.3.5

Все еще пытаюсь определить, является ли это уникальным для нашего магазина, из-за пользовательских шаблонов. Тем не менее, он сломан с примененным патчем и не сломан, когда мы вернемся. Я хотел опубликовать в случае, если другие могут сообщить то же самое.

В EE 1.14.2.0 мы не можем продвинуться дальше этапа извлечения информации о платеже с применением исправления. Мы до версии SUPEE-9767 v2 до применения нового патча.

Наша проблема, кажется, проистекает из их удаления || elements[i].name == 'form_key'из:

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Это удалено из enablePaymentMethodsцикла. Похоже, что скрытый ввод form_key формы отключен и, следовательно, не передается в контроллер при отправке.

<input name="form_key" type="hidden" value="X" disabled="">

Затем происходит $this->_validateFormKey()сбой и контроллер ничего не возвращает.

Обновление 1 (2017-09-18) : Я отправил билет в службу поддержки Magento в пятницу, и мне сказали, что "[еще] ни один из продавцов не сообщал об этом". Вместо того, чтобы отправлять резервные копии, я пытался выполнить дублирование при чистой установке 1.14.2.4 и 1.14.3.4 с применением соответствующих исправлений. Я был в состоянии дублировать и ответил на билет. В ожидании нового ответа.

Примечание. Система> Конфигурация> Администратор> Безопасность> Включить проверку ключа формы при оформлении заказа должно быть «Да». Если «Нет», вы не увидите проблему.

Обновление 2 (2017-09-18) : Заметил, что не могу продублировать проблему с 1.14.3.6, но когда я проверял файл шаблона выше, || elements[i].name == 'form_key'он все еще там. Кажется, патчи не должны были удалить его. Отправил эту информацию в службу поддержки Magento.

Обновление 3 (2017-09-20): я только что получил патч для исправления проблемы для 1.14.0.0–1.14.3.4, который просто восстанавливает form_keyстроку в шаблоне. Обратитесь в службу поддержки SUPEE-10348.

Когда вы идете в Magento Connect, и после, когда вы нажимаете «Вернуться к администратору» в правом верхнем углу страницы. Вернувшись на панель администратора, вы получите сообщение об ошибке

красное сообщение об ошибке: «Неверный секретный ключ. Пожалуйста, обновите страницу».

Как только вы обновите страницу, ее больше нет.

Обновлено: 15 сентября 2017 г.

Если вы авторизуетесь в Magento admin, скажем, Dashboard. Без выхода из панели Dashboard вы идете и открываете другое окно браузера в том же браузере и переходите на example.com/admin, он автоматически авторизуется и показывает точно такое же сообщение.

красное сообщение об ошибке: «Неверный секретный ключ. Пожалуйста, обновите страницу».

Пока это единственная проблема, которую я нашел. Я даже не уверен, является ли это серьезной проблемой, поскольку сообщение исчезает после обновления.

Я спросил службу поддержки Magento о следующей проблеме

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Они ответили мне сегодня утром и выпустили новый патч PATCH_SUPEE-10348 .

Magento только что решил проблему, выполнив возврат в этом файле.

Индекс: приложение / дизайн / внешний интерфейс / предприятие / по умолчанию / шаблон / giftcardaccount / onepage / payment / scripts.phtml
================================================== =================
--- app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
+++ приложение / дизайн / внешний интерфейс / предприятие / по умолчанию / шаблон / giftcardaccount / onepage / payment / scripts.phtml
@@ -35,6 +35,7 @@
             if (elements [i] .name == 'payment [method]'
                 || elements [i] .name == 'payment [use_customer_balance]'
                 || elements [i] .name == 'payment [use_reward_points]'
+ || elements [i] .name == 'form_key'
             ) {
                 methodName = elements [i] .value;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

Я столкнулся с проблемой с шаблонами электронной почты, пользовательским CSS и модманом. Если, например, у вас есть тема на основе rwd/default, есть пользовательская тема , skin/frontend/package/theme/css/email-inline.cssи ваши файлы скинов включены через modman через символическую ссылку, CSS не будет добавлен в почтовый шаблон после применения SUPEE-10266. Проблема в том, что в Mage_Core_Model_Email_Template_Abstract::_getCssFileContentнекоторые проверки были введены.

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Я решил это с помощью грязного хака с app/code/local/Mage/Core/Model/Email/Template/Abstract.phpпереопределением на данный момент. Мне пришлось ослабить проверку, чтобы можно было загрузить файл CSS из каталога modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Он не будет проверять, содержит ли путь полный каталог скина, а будет только проверять, содержит ли путь строку /skinи не содержит ли он .., что должно предотвратить атаки обхода каталога.

Вот полный список исправлений, затронутых autocomplete="new-pawwsord"опечаткой:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

На Magento 1.8.1 я столкнулся с проблемами со следующими файлами:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

В итоге я скачал последнюю версию Magento, которая НЕ содержит патч. В этом случае Magento 1.9.3.4 .

Замена «испорченных» файлов файлом, загруженным из загрузочного файла, устранила проблему. Я смог успешно применить патч.

Но будьте осторожны: я предлагаю вернуться к 3 файлам после исправления снова и отредактировать файлы вручную.