Уязвимость в Magento SWF XSS - как ее устранить?

12

В соответствии с уязвимостью SWF / Flash, перечисленной по адресу: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

что я проверял, все еще существует в Magento 1.9.1.0, каков наилучший метод для решения этой проблемы? Есть проблемы с блокировкой или ограничением доступа к этим SWF-файлам?

magento-1.9 adminhtml security skin Роб Мангиафико
источник
2
По словам Петра Каминского, это было исправлено в 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
хорошо, я думаю, я понимаю, почему я думал, что 1.9.1.0 все еще уязвим. Я протестировал его в нескольких магазинах Magento, которые обновились с 1.9.0.1, и файл editor.swf (который не используется в 1.9.1.0) все еще был там с более старых версий, поэтому он все еще показывал предупреждение. appcheck указывает, что uploader.swf и uploaderSingle.swf являются уязвимыми, но я не могу получить предупреждение о появлении этих версий в любой версии. Я вижу, как 1.9.1.0 обновил оба файла SWF загрузчика, так что кажется, что они исправлены. Для более старых версий 1.9.0.1 и более ранних существует ли исправление / обходной путь, который можно использовать для снижения риска помимо обновления?
Роб Мангиафико
Вы можете попробовать заменить два .swf-файла и посмотреть, не нарушает ли он какую-либо функциональность, если это так, возможно, есть код для исправления. К сожалению, не похоже, что у Magento есть официальный патч для старых версий.
B00MER

Ответы:

10

Вероятно, это не 100% правильный ответ Stack Exchange, так как я не могу предоставить полное решение, но я думаю, что лучше опубликовать это, чем ничего.

Существует исправление от Enterprise Support, которое решает проблему. Я не имею права публиковать патч, но если вы являетесь корпоративным клиентом, вы можете запросить патч, так как он также совместим с некоторыми версиями CE.

Вот некоторая информация, которой я надеюсь поделиться без проблем:

Патч удаляет два SWF-файла и изменяет SWF-файлы загрузчика.

Мне сказали, что предоставленный патч совместим с этими версиями CE:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Кроме того, он совместим со всеми версиями EE <1.14.0.0, поэтому я полагаю, что патч включен в EE 1.14. Было бы понятно, что он также включен в CE 1.9.

[Обновление] Мне сообщили в службу поддержки, что патч был включен в CE 1.9.1. Поэтому решение должно состоять в том, чтобы либо обновить до CE 1.9.1.0, либо напрямую запросить этот патч у Magento.

Матиас Цейс
источник