Magento swf XSS vulnerabilità - Come risolverlo?

12

Per la vulnerabilità SWF / Flash elencata su: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

che ho verificato esiste ancora in Magento 1.9.1.0, qual è il metodo migliore per affrontarlo? Problemi con il blocco o la limitazione dell'accesso a questi file swf?

magento-1.9  adminhtml  security  skin 
Rob Mangiafico
fonte
2
Secondo Piotr Kaminski è stato corretto in 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, penso di vedere perché pensavo che 1.9.1.0 fosse ancora vulnerabile. L'ho provato su alcuni negozi Magento aggiornati da 1.9.0.1 e il file editor.swf (che non è utilizzato in 1.9.1.0) era ancora lì dalle versioni precedenti, quindi ha comunque mostrato l'avviso. Appcheck elenca uploader.swf e uploaderSingle.swf come vulnerabili, ma non riesco a visualizzare l'avviso su nessuna versione usando questi file. Vedo 1.9.1.0 aggiornato entrambi i file swf di uploader, quindi sembra che siano patchati. Per le versioni 1.9.0.1 e precedenti, esiste una patch / soluzione alternativa che può essere utilizzata per mitigare i rischi oltre all'aggiornamento?
Rob Mangiafico,
Potresti provare a sostituire i due file .swf e vedere se non interrompe alcuna funzionalità, in caso contrario potrebbe esserci del codice da correggere. Sfortunatamente non sembra che Magento abbia una patch ufficiale per le versioni precedenti.
B00MER,

Risposte:

10

Probabilmente questa non è una risposta di scambio di stack valida al 100% in quanto non posso fornire la soluzione completa ma penso che sia meglio pubblicare questo che niente.

C'è una patch dal supporto Enterprise che risolve il problema. Non sono autorizzato a pubblicare la patch, ma se sei un cliente Enterprise potresti chiedere la patch in quanto è anche compatibile con alcune versioni CE.

Ecco alcune informazioni che spero di poter condividere senza mettermi nei guai:

La patch elimina due file SWF e modifica i file SWF caricatori.

Mi è stato detto che la patch fornita è compatibile con queste versioni CE:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Inoltre è compatibile con tutte le versioni EE <1.14.0.0, quindi immagino che la patch sia inclusa in EE 1.14. Avrebbe senso che sia incluso anche in CE 1.9 allora.

[Aggiornamento] Sono stato informato dal supporto che la patch è stata incorporata in CE 1.9.1. Quindi la soluzione dovrebbe essere l'aggiornamento a CE 1.9.1.0 o richiedere questa patch direttamente da Magento.

Matthias Zeis
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.