简而言之,是的。CE 1.7仍然容易受到那些特定的攻击,因为尚未发布包含补丁程序的安全版本。
在后一种情况下,即会话固定攻击,此更改是对安全实践的升级,Magento已经使用该安全实践来与当前的安全最佳实践保持一致。如果CE 1.7确实发布了带有CSRF修复程序的补丁,则不太可能发布给CE 1.7。
真正的问题是,这些已修复的CSRF漏洞究竟是什么?毫无疑问,它们没有在发行说明中包含细节,因此进一步危及了所有以前的发行版,但是为了修补旧的实现,很高兴知道这一点是一件好事。
更新#1:
在联系Magento以确定他们何时将发布上述漏洞的补丁后,我收到以下答复:
请允许我花一些时间进一步研究。我不确定这两项是否有可用的补丁程序,因为它们在我们的系统中被列为产品增强功能而不是错误。当我获得更多信息时,我会及时更新。
我将在获得详细信息的同时在此处发布更多详细信息,并会尽力获取已发布的补丁程序,因为当前似乎不存在任何补丁程序。
更新#2:与支持团队来回交流后,我能够为Magento EE 1.12.0.2获得适当的补丁程序。没有发布Magento CE 1.7.0.2的补丁程序,并且据我内部了解的技术人员所知,没有计划发布CE 1.7.x的正式补丁程序,而是仅在即将到来的CE 1.8中解决问题。稳定释放。
至于EE专用补丁文件,我不能直接在此处发布(或补丁应用工具),因为它无疑会违反Magento和我本人以及我工作的公司之间的NDA。相关补丁的名称为:“ PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh”-如果您使用的是Enterprise Edition或客户端,则应该能够从Magento支持团队索取该补丁以及有关以下内容的说明应该修复的CSRF漏洞。
对于CE 1.7.0.2用户,我可以自由地生成补丁文件(基于Magento提供的补丁),该补丁文件仅包含可更改Magento CE 1.7.0.2核心代码文件的代码块。通常,它包括无关紧要的添加注释和调整后的格式以及相关的代码更改。创建此文件需要手动更改原始补丁以使用提供的补丁应用工具来应用它,然后使用git根据应用的更改生成补丁。
我创建的补丁文件可以从以下要点下载:https : //gist.github.com/davidalger/5938568
要应用补丁,首先将cd插入Magento安装的根目录,然后运行以下命令: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE特定修补程序包括对企业特定控制器的表单密钥验证检查,对企业/默认和企业/ iphone模板文件的更改,以将表单密钥包括在用于修补控制器操作的表单中,以及附加的“全页缓存”功能以正确说明在缓存的页面上来回传递表单密钥。
免责声明:我尚未测试Magento提供的EE补丁或我已上传至链接的要点的补丁。参考要点中提供的修补程序不提供任何担保,并且可能会或可能不会完全解决CE 1.8发行说明中提到的漏洞。作为未经测试的补丁程序,也不能保证其全部或部分功能。即,使用后果自负,并在部署到生产环境之前进行尽职的测试。如果您发现补丁程序有问题,请告诉我,我将对其进行更新。