SUPEE-9767，modman和符号链接

我想用SUPEE-9767给Magento商店打补丁。SUPEE-9767的文档告诉我在应用补丁之前禁用符号链接设置：

在应用补丁或升级到最新版本之前，请确保禁用Symlinks设置...如果启用该设置，它将覆盖配置文件设置，而更改该设置将需要直接修改数据库。

但是我使用modman来管理模块，并且由于某些模块正在使用模板文件，因此将根据modman的自述文件中的建议启用符号链接设置。将Symlinks设置保持为安全补丁SUPEE-9767-可能的问题之一是 安全的吗？建议（由于我是新用户，所以我无法评论帖子）？

使用modman管理Magento 1.x模块的用户应确保他们不禁用符号链接，因为这将禁用modman模块。

如果我将Symlinks设置保持启用状态，那么商店是否不会受到APPSEC-1281的影响：通过symlinks远程执行代码，此补丁旨在解决安全威胁？

在此修补程序之后，还有其他方式将modman与模板文件一起使用吗？（我知道modman的自述文件提到的“ Mage / Core / Block / Template.php的修补版本”选项，但是修补核心文件似乎很危险。）

以下是有关此更改的一些说明：

首先阅读彼得·奥卡拉汉（Peter O'Callaghan）的解释，这将为您提供深刻的理解：https : //peterocallaghan.co.uk/2017/06/appsec-1281-dangerous-symlinks/

Max Chadwick的这则帖子也是另一个有趣的读物https://maxchadwick.xyz/blog/what-allow-symlinks-actually-does

此修改实际上是关于通过模板指令调用可上传内容（例如图像）。

与符号链接有关的问题仅可通过管理员访问来利用，并且Magento还在图像上传周围添加了更多保护。

请注意，除了设置本身以外，它们还提供了一些防止已知方法利用它的保护措施。

因此，如果您了解所涉及的风险，则可以启用符号链接。

如果需要启用它们进行全新安装，则可以运行：

UPDATE core_config_data SET value = 1 WHERE path = "dev/template/allow_symlink";

问题不在于符号链接，而是路径之类的路径../../../../../media/tmp/hahaha.png。如果我在这方面做错了，请启发我。“修复”的标题为“允许符号链接”，启用此功能将禁用使用实施的检查realpath()。在我看来，一个与符号链接一样安全，性能更高且仍与符号链接兼容的修复程序是使用strpos($path, '..')和/或检查realpath()与某些危险目录（例如media和）匹配var。如果以这种方式实现，则不需要进行配置，就可以始终启用它，而不会破坏成千上万的存储。

无论如何，您的Web服务器用户都无权访问源代码目录中的文件（如Magento Connect一样），这是另一种防止恶意代码写入某处并作为块模板执行的方法。

因此，对符号链接的攻击只是被误导了，并且存在更好的修复方法。实际上，我是一年多以前提供的，并且在modman github README中甚至有指向它的链接。

如果您在作曲家文件的其他部分设置了magento-deploystrategy以复制文件，则将从供应商文件夹而非Symlinks复制文件。

    "extra":{
        "magento-root-dir":"./",
        "magento-deploystrategy":"copy",
        "magento-force": true
    }

然后，您可以修改core_config_data以将dev / template / allow_symlink的值设置为0

信息资源

在此修补程序之后，还有其他方式将modman与模板文件一起使用吗？

您可以通过不同的方式覆盖SUPEE-9767的更改，请参阅：

安装SUPEE-9767 V2后如何启用符号链接？