Poprawka bezpieczeństwa SUPEE-10266

36

Nowa aktualizacja zabezpieczeń Magento 1 dotyczy 13 problemów APPSEC

https://magento.com/security/patches/supee-10266

Na jakie typowe problemy należy zwrócić uwagę przy stosowaniu tej poprawki?

SUPEE-10266, Magento Commerce 1.14.3.6 i Open Source 1.9.3.6 zawierają wiele ulepszeń bezpieczeństwa, które pomagają zamknąć fałszowanie żądań między witrynami (CSRF), nieautoryzowany wyciek danych oraz luki w zabezpieczeniach uwierzytelnionego użytkownika administracyjnego do zdalnego wykonania kodu. Te wydania zawierają również poprawki problemów z ponownym ładowaniem obrazu i płatnościami za pomocą kasowania w jednym kroku.

— Luke Rodgers
źródło

W obliczu problemu przy składaniu wniosku do 1.9.3.2 - magento.stackexchange.com/questions/193451/…

— Shrenik

13

Niektóre ważne informacje są udostępniane tutaj. Większość plików z backendu Magento. Lista plików:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

Ważne jest, aby sprawdzić te trzy pliki.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

app / code / core / Mage / Checkout / kontrolers / CartController.php dodatkowy warunek sprawdź identyfikator klienta :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

Dodano aplikację / code / core / Mage / Sales / Model / Resource / Order / Item / Collection.php Dodatkowa metoda addFilterByCustomerId w kolekcji.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

jeśli „general / reprocess_images / active” false, pomiń przetwarzanie obrazów. UWAGA: Jeśli wyłączysz ponowne przetwarzanie obrazów, wówczas proces przesyłania zdjęć może spowodować zagrożenie bezpieczeństwa

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Mam nadzieję, że to pomoże. Myślę

— Rama Chandran M.
źródło

Czy możesz określić, jak dokładnie powinniśmy sprawdzać możliwe problemy z CartController.php i Collection.php. Gdzie dokładnie szukać możliwych błędów na stronie?

— Ikona

Mam aktualizację witryn z łatkami bezpieczeństwa 3, wszystkie trzy witryny zastępują te dwa pliki. Dokładnie sprawdź i zaktualizuj te dwa pliki. Na wszystkich 3 stronach nie występują żadne rowy

— Rama Chandran M

10

EE 1.14.2.4

Literówka w linii 726 łatki: autocomplete="new-pawwsord" (app/design/adminhtml/default/default/template/backup/dialogs.phtml )

W łatce brakuje 2 plików frontendowych:

Łata:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Bez łatek:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml

Nie zapomnij też sprawdzić lokalnych zastąpień ... Musiałem ręcznie załatać lokalne zastąpienie bufora kodu app\design\adminhtml\default\default\template\sales\order\view\info.phtml

Zobacz quasiobject „s odpowiedź dla onepage numerze zamówienia. Utworzono zgłoszenie do wsparcia dla przedsiębiorstw w oczekiwaniu na odpowiedź Magento. Jeśli nie chcesz czekać na zaktualizowaną poprawkę, potencjalną poprawką jest zmodyfikowanie statystyki „else” w app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmlcelu uwzględnienia elementu form_key w następujący sposób:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...

CE 1.9.2.4

Literówka w linii 694 łatki: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

Rozszerzenie TrueOrderEdit musi być poprawione ... zmiany echo $_groupNamedo echo $this->escapeHtml($_groupName)w następujących plików:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml

Na koniec ten plik szablonu podstawowego powinien prawdopodobnie zostać załatany tą samą aktualizacją $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml

Wszystkie wersje 1.X

Jeśli usunąłeś /downloaderfolder (lub /downloader/template) z bazy kodu, być może będziesz musiał ręcznie edytować plik łatki .sh i usunąć ostatnią sekcję, zaczynając oddiff --git downloader/template/login.phtml downloader/template/login.phtml

Jeśli chodzi o błąd nieprawidłowego tajnego klucza , proszę zobaczyć moją odpowiedź tutaj: Magento 1.9 nieprawidłowy tajny klucz. Odśwież stronę

— kmdsax
źródło

Znalazłem też literówkę do poprawki 1.7.0.2. autocomplete = "new-pawwsord". Czy to w każdym razie wpływa na działanie kodu? Jeśli tak, może po drodze pojawi się wersja 2 łatki?

— Ikona

Istotna literówka znajduje się w kodzie odpowiedzialnym za sztuczkę FireFox. „To jest fałszywe ukryte pole, które ma na celu oszukanie firefoxa z automatycznego wypełniania hasła”… wygląda na to, że nie ma nic poważnego.

— Ikona

@kmdsax Dostałem łatkę od pomocy technicznej, aby naprawić problem. Zaktualizowałem moją odpowiedź o szczegóły.

— quasiobject

czy mógłbyś mi pomóc rozwiązać mój błąd magento.stackexchange.com/q/204446/57334

— zus

9

W MageHost.pro znaleźliśmy problem w łatce do pliku poprawki Magento 1.9.1.1PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Błąd:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Naprawiłem to, zastępując linie 454-472 przez 454-471 z PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Stary kod, wiersz 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Nowy kod, wiersze 454–471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

— Jeroen Vermeulen - MageHost
źródło

Czy sprawdziłeś inne wersje? Jeśli tak, czy występuje ten sam problem?

— Ikona

1

@Icon Testowaliśmy ce-1.6.0.0 ce-1.6.1.0 ce-1.6.2.0 ce-1.7.0.0 ce-1.7.0.1 ce-1.7.0.2 ce-1.8.0.0 ce-1.8.1.0 ce-1.9.0.0 ce -1,9.9.1 ce-1.9.1.0 ce-1.9.1.1 ce-1.9.2.0 ce-1.9.2.1 ce-1.9.2.2 ce-1.9.2.3 ce-1.9.2.4 ce-1.9.3.0 ce-1.9.3.1 ce -1.9.3.2 ce-1.9.3.3 ce-1.9.3.4. Wszystkie wersje miały zainstalowane wszystkie poprzednie łaty. Jedynym z błędem poprawki był ce-1.9.1.1.

— Jeroen Vermeulen - MageHost

6

Wydaje się, że w tej łatce dodano tylko 1 klucz formularza.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Więc jeśli masz trudności z usunięciem widżetu z panelu administracyjnego, upewnij się, że Twój adres URL jest generowany przez blok i że nie masz żadnych przesłonięć tego bloku.

— Luke Rodgers
źródło

jak mogę rozwiązać ten magento.stackexchange.com/q/204446/57334 ?

— zus

5

Niemożliwe jest pobranie z EE 1.11+

W app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlformularzu klucz weryfikacyjny klucza został usunięty i psuje całą kasę, więcej informacji tutaj: https://magento.stackexchange.com/a/193442/2380

Obejście na razie (jako wersja 2 dla EE 1.11+ zostanie wydana w celu rozwiązania tego problemu): wycofaj plik szablonu dla obu enterprise/defaulti rwd/entreprisemotywów.

Różnice między łatką a wersją

EDYCJA: 1.9.3.6 zostało wydane, więc te informacje nie są już istotne

Jednym z głównych problemów, które zostały podniesione na chwilę obecną, jest to, że w 1.9.3.5 brakuje 3 łatek bezpieczeństwa z łatki. Dlatego zdecydowanie zalecam jedynie łatanie, a nie aktualizowanie do wersji 1.9.3.5

— Raphael at Digital Pianism
źródło

Czy masz więcej informacji na ten temat, na przykład przykład niepakowanego pliku w wersji 1.9.3.5?

— Luke Rodgers,

Czy nadal trwa to w przypadku CE / Open Source? W przypadku EE / Commerce nie jest dostępne pobieranie 1.14.3.5, tylko 1.14.3.6.

— 7ochem

Na stronie pobierania CE / Open Source znajduje się również tylko 1.9.3.6 (od 14 września) i już nie ma 1.9.3.5

— 7ochem

4

1.9.3.6 zostało wydane wczoraj, ta informacja nie jest już aktualna.

— Ryan Hoerr

5

Wciąż próbuję ustalić, czy jest to unikalne dla naszego sklepu, ze względu na niestandardowe szablony. Jest on jednak zepsuty z nałożoną łatką i nie jest zepsuty podczas cofania. Chciałem pisać na wypadek, gdyby inni mogli to samo zgłosić.

W EE 1.14.2.0 nie możemy przejść obok kroku Informacje o płatności w kasie z zastosowaną łatką. Jesteśmy obecni do SUPEE-9767 v2 przed zastosowaniem nowej łatki.

Wydaje się, że nasz problem wynika z ich usunięcia || elements[i].name == 'form_key'z:

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Jest usuwany z enablePaymentMethodspętli. Wygląda na to, że ukryte wejście formularza form_key jest wyłączone i dlatego nie jest przekazywane do kontrolera po przesłaniu.

<input name="form_key" type="hidden" value="X" disabled="">

Następnie $this->_validateFormKey()kończy się niepowodzeniem, a kontroler nic nie zwraca.

Aktualizacja 1 (18.09.2017) : W piątek przesłałem zgłoszenie do pomocy technicznej Magento i powiedziano mi, że „jeszcze nie zgłosili go kupcy”. Zamiast wysyłać kopie zapasowe, próbowałem powielić przy czystej instalacji 1.14.2.4 i 1.14.3.4 z zastosowanymi odpowiednimi łatkami. Udało mi się powielić i odpowiedzieć na bilet. Oczekiwanie na nową odpowiedź.

Uwaga: System> Konfiguracja> Administrator> Bezpieczeństwo> Włącz sprawdzanie poprawności klucza formularza przy kasie musi mieć wartość „Tak”. Jeśli „Nie”, problem nie zostanie wyświetlony.

Aktualizacja 2 (18.09.2017) : Zauważyłem, że nie mogę zduplikować problemu z wersją 1.14.3.6, ale gdy sprawdziłem plik szablonu powyżej, || elements[i].name == 'form_key'nadal tam jest. Wydaje się, że łatki nie powinny go usunąć. Wysłałem te informacje również do pomocy technicznej Magento.

Aktualizacja 3 (2017-09-20): Właśnie dostałem łatkę do rozwiązania problemu dla wersji 1.14.0.0–1.14.3.4, która po prostu przywraca form_keylinię do szablonu. Poproś o wsparcie dla SUPEE-10348.

— quasiobiektyw
źródło

Ten sam problem tutaj, 1.14.2.4

— kmdsax

Dzięki @kmdsax. Przesłałem również bilet i czekam na potwierdzenie od wsparcia.

— quasiobject

Czy próbowałeś powtórzyć ten sam błąd w wersji 1.9.2.4 CE?

— Ikona

1

@Icon Nie mam. Pracuję dla jednego kupca i jesteśmy EE. Nie sądzę jednak, by miało to wpływ, ponieważ jest to blok skryptu karty podarunkowej EE. To nie powinno istnieć w CE.

— quasiobject

4

Gdy przejdziesz do Magento Connect, a następnie klikniesz „Wróć do administratora” w prawym górnym rogu strony. Po powrocie do panelu administracyjnego pojawia się komunikat o błędzie

czerwony komunikat o błędzie: „Nieprawidłowy tajny klucz. Odśwież stronę”.

Po odświeżeniu strona zniknęła.

Zaktualizowano: 15 września 2017 r

Jeśli zalogujesz się do administratora Magento, powiedzmy Dashboard. Bez wylogowania z panelu Dashboard idziesz otworzyć inne okno przeglądarki w tej samej przeglądarce i przejść do example.com/admin, automatycznie się zaloguje i wyświetli dokładnie ten sam komunikat

czerwony komunikat o błędzie: „Nieprawidłowy tajny klucz. Odśwież stronę”.

Jak dotąd to jedyny problem, jaki znalazłem. Nie jestem nawet pewien, czy jest to poważny problem, ponieważ komunikat przestaje być wyświetlany po odświeżeniu.

— Ikona
źródło

Może wynika to z zamknięcia Magento Connect: magento.com/blog/magento-news/…

— Kevin Krieger

1

@KalvinKlien Mam również wersję 1.7.0.2. Widzę tę wiadomość za każdym razem, gdy wchodzę tam i z powrotem między administratorem a Magneto Connect (/ downloader). Próbuję tylko dowiedzieć się, czy inni też to widzą. Nie wygląda to na poważny problem.

— Ikona

3

Widzę to również w 1.9.2.1. Ktoś już zgłosił raport o błędzie w narzędziu do śledzenia błędów Magento .

— Michael Thessel,

1

Jest to błąd w Mage_Adminhtml_Controller_Action :: preDispatch (): if ($_keyErrorMsg != '') { Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };powinien byćif (!$_isValidFormKey){ Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };

— Laura

1

hmmmm, jak dotąd jest to częściowe rozwiązanie. Od czasu do czasu nadal widzę błąd, nie jestem pewien, czy istnieje inny kontroler, który ma ten problem

— Kalvin Klien,

4

Poprosiłem wsparcie Magento o następujący problem

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Odpowiedzieli mi dziś rano i wypuścili nową łatkę PATCH_SUPEE-10348 .

Magento właśnie rozwiązało problem, przywracając ten plik.

Indeks: app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
================================================== =================
--- app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
+++ app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
@@ -35,6 +35,7 @@
             if (elementy [i] .name == 'payment [method]'
                 || elements [i] .name == 'payment [use_customer_balance]'
                 || elements [i] .name == 'payment [use_reward_points]'
+ || elementy [i] .name == 'form_key'
             ) {
                 methodName = elements [i] .value;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

— Cghisi
źródło

1

Może potwierdzić, że ta poprawka jest dostępna w portalu partnerskim.

— Luke Rodgers

Dzięki za informację. Zapomniałem podać tej informacji

— cghisi,

3

Wystąpił problem z szablonami e-mail, niestandardowym CSS i modmanem. Jeśli masz np. Motyw oparty na rwd/defaultniestandardowym, skin/frontend/package/theme/css/email-inline.cssa pliki skórki są dołączane za pośrednictwem modmana za pomocą dowiązania symbolicznego, CSS nie zostanie dodany do szablonu poczty po zastosowaniu SUPEE-10266. Problem polega na tym Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, że wprowadzono pewne kontrole:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Rozwiązałem go na razie z brudnym włamaniem z app/code/local/Mage/Core/Model/Email/Template/Abstract.phpprzesłonięciem. Musiałem osłabić kontrolę, aby możliwe było załadowanie pliku CSS z katalogu modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Nie sprawdzi, czy ścieżka zawiera już pełny katalog skórek, ale sprawdzi tylko, czy ścieżka zawiera ciąg znaków /skini czy go nie zawiera .., co powinno zapobiec atakom przechodzenia przez katalog.

— Szymon, Szymek
źródło

1

Usunąłem moją odpowiedź, ponieważ twoja jest bardziej kompletna. Hack, którego użyłem, miał na celu sprawdzenie if (strpos($filename, '..') === false) { $positionSkinDirectory = 1; }wiersza, po którym $positionSkinDirectoryzostał pierwotnie ustawiony. Powinno to pomóc uniknąć przechodzenia przez katalog.

— Peter O'Callaghan,

Chcę zauważyć, że osłabienie w tym przypadku oznacza ponowne narażenie go na niebezpieczeństwo, a używanie tego rozwiązania stanowi bezpośrednie zagrożenie bezpieczeństwa

— Flyingmana,

@ PeterO'Callaghan dobry pomysł! Właśnie dodałem czek do mojego kodu odpowiedzi.

— Simon

@Flyingmana powinno to znacznie obniżyć ryzyko.

— Simon

2

Oto pełna lista poprawek dotkniętych autocomplete="new-pawwsord"literówką:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

— Richard Feraro
źródło

0

Na Magento 1.8.1 napotkałem problemy z następującymi plikami:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Skończyło się na pobraniu najnowszej wersji Magento, która NIE zawiera łatki. W tym przypadku Magento 1.9.3.4 .

Zastąpienie „uszkodzonych” plików plikiem pobranym rozwiązało problem. Udało mi się zastosować łatkę.

Ale bądź ostrożny: proponuję przywrócić 3 pliki po ponownej łatce i ręcznie edytować pliki.

— Stefan
źródło

Poprawka bezpieczeństwa SUPEE-10266 - Możliwe problemy?

Niemożliwe jest pobranie z EE 1.11+

Różnice między łatką a wersją