如何检查哪些模块受安全补丁SUPEE-6788的影响

71

2015年10月27日，Magento发布了安全补丁SUPEE-6788。根据技术细节，已修复的4个APPSEC需要在本地和社区模块中进行一些返工：

APPSEC-1034，绕过自定义管理URL进行寻址（默认情况下禁用）
APPSEC-1063，解决了可能的SQL注入
APPSEC-1057，模板处理方法允许访问私人信息
APPSEC-1079，使用自定义选项文件类型解决潜在的利用

我想知道如何检查此安全补丁影响哪些模块。

我提出了以下部分解决方案：

APPSEC-1034：<use>admin</use>在所有本地和社区模块的config.xml中搜索。我认为这应该列出受此问题影响的所有模块。
APPSEC-1063：在本地和社区模块的所有PHP文件中搜索addFieldToFilter('(并addFieldToFilter('`在其中。这是不完整的，因为也可以使用变量。
APPSEC-1057：在本地和社区模块的所有PHP文件中搜索{{config path=并{{block type=在其中，并从白名单中过滤掉所有元素。这是不完整的，因为它不包含管理员添加的任何模板变量。
APPSEC-1079：不知道。

还列出了由Peter Jaap Blaakmeer编译的APPSEC-1034和APPSEC-1063容易受到攻击的扩展列表

— 阿德·玛蒂森（Aad Mathijssen）
source

我不知道如何联系@PeterJaapBlaakmeer，但是我需要添加一个扩展名：FreeLunchLabs ConstantContact，用于管理url问题

— David Wilkins

6

谁提出了其中一些解决方案？突然会有一个块类型和可变的白名单？升级Magento一直是一件痛苦的事情，但是对于Magento来说，这是一项艰巨的工作，因为它使工作变得更加痛苦。

— 2015年

6

呵呵，Magento，不断送的礼物。我刚刚完成了所有模块的升级，以实现1.9.2.1兼容性。投注模块开发人员只是为喜悦而跳，或是为丘陵尖叫。

— Fiasco Labs 2015年

3

目前补丁程序推迟到下周-将安全补丁程序发布推迟到下周初，然后修改补丁程序，以便默认情况下关闭管理路由更改。这意味着该修补程序将包含该修补程序，但是在安装后将被禁用。新的发行日期和补丁程序的更改将使您有更多的时间来更新代码，并且一旦商户对其扩展程序和自定义进行了更新，便可以灵活地打开补丁程序的这一部分。

— FireBear 2015年

1

补丁已经发布magento.com/security/patches/supee-6788-technical-details

— 穆克什

55

SUPEE-6788已发布，默认情况下关闭了管理路由更改。这意味着该修补程序包括该修补程序，但是在安装后将被禁用。这将使您有更多的时间来更新代码，并使商人可以在扩展名和自定义项进行更新后灵活地打开补丁的这一部分。

要在安装路径后启用扩展的管理员路由功能，请转到“管理”->“高级”->“管理”->“安全性”。

Magento CE 1.4-1.6补丁已延迟，应在大约一周内可用！

SUPEE-6788资源列表

官方详细信息和下载SUPEE-6788 - http : //magento.com/security/patches/supee-6788和 https://www.magentocommerce.com/download
如何有用的技巧适用SUPEE-6788的讨论 - https://magento.meta.stackexchange.com/a/734/2282
在不使用SSH的情况下安装SUPEE-6788 - https: //magentary.com/kb/install-supee-6788-without-ssh/
适用于CE 1.7.0.1的SUPEE-6788-GitHub上的1.9.2.1 - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE
适用于EE 1.12.x的SUPEE-6788-GitHub上的1.14.x - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE
SUPEE-6788和向后兼容性 - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf
社区驱动的最新扩展列表，这些扩展将随SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https: //docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/htmlview ? sle = true# gid = 0
有用的Magerun命令 https://github.com/peterjaap/magerun-addons
- n98-magerun dev：template-var-查找未列入白名单的var / block，与SUPEE-6788和Magento 1.9.2.2兼容
- n98-magerun.phar dev：old-admin-routing-查找使用旧式管理路由的扩展（与SUPEE-6788和Magento 1.9.2.2不兼容）
检查商店是否打补丁/受影响-https : //www.magereport.com/
一些在头版定制模块都经过补丁安装消失 - APPSEC-1057如何变量或块添加到白名单表＆https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-custom-blocks-issue /
Magento SUPEE-6788开发人员工具箱 -从补丁https://github.com/rhoerr/supee-6788-toolbox查找并自动解决主要问题
MageDownload CLI-一个自动执行Magento版本和补丁下载的PHP工具-https : //github.com/steverobbins/magedownload-cli
如何许可清单SUPEE-6788的模板变量和块 - https://gist.github.com/avoelkl/f99e95c8caad700aee9
检查Magento文件以获取受appsec影响的已知代码-https : //github.com/Schrank/magento-appsec-file-check
SUPEE 6788 Magento修补程序安装的常见问题-http : //www.atwix.com/magento/security-patch-supee-6788-installation-issues/
对于Magento的补丁SUPEE-6788的性能提升 - https://github.com/EcomDev/SUPEE6788-PerformanceFix，https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e，详情- http://www.magecore.com/blog / news / performance-issues-magento-security-patch-supee-6788

— 火熊
source

对于任何“不会修复”的模块，我们是否可以记录一般需要更改的内容，以便可以手动修补这些模块以使其与6788一起使用？例如，“从所有addFieldToFilter呼叫中删除X ”。

— 泰勒（Tyler V）

1

该补丁已发布。请更新您的答案。

— 7ochem

@FireBear我已经在过去多次应用了Magento补丁。但是我对SUPEE-6788有疑问。我是否需要像其他补丁一样应用它，以后我可以在Magento管理面板中启用管理路由功能，或者在安装时仅需注意。请提出建议。

— Mukesh

2

@Muk是的，您可以将其安装为其他修补程序，但是需要提防被破坏的扩展名，如果您使用列表中的某些扩展名-您需要手动修复它们或等待开发人员进行更新，直到可以启用为止-管理员路由功能扩展

— FireBear 2015年

@FireBear您能否提供对community.magento.com/t5/Version-Upgrades/…的反馈（自定义模块之前和之后）

— Mukesh 2015年

21

根据有关检测冲突的其他评论，我们ParadoxLabs创建了一个脚本来跟踪受APPSEC-1034（管理控制器）和APPSEC-1057（白名单）影响的所有内容。它还将尝试修复所有错误的控制器，因为这是一个相当精确且具有侵入性的更改。

它不涵盖APPSEC-1063（SQL注入）或APPSEC-1079（自定义选项），但如果可以的话，会很棒。不知道如何以任何精度检测它们。我们愿意捐款。

https://github.com/rhoerr/supee-6788-toolbox

— 瑞安·霍尔（Ryan Hoerr）
source

3

这看起来真的很有用，很好的工作！

— paj 2015年

fixWhitelists将块添加到白名单，但似乎对变量的作用不大-请您确认吗？

— zigojacko 2015年

1

@zigojacko它涵盖了两者。

— 瑞安·霍尔

是的，通过尝试一下解决了这个问题。出色的工作，ParadoxLabs的出色工作:)

— zigojacko 2015年

尊重ParadoxLabs。该工具节省了大量工作。

— DarkCowboy

5

此php脚本可能有助于识别受建议的SUPEE-6788补丁影响的Magento代码。

这绝对不是针对此修补程序的万无一失的安全检查，但是对于快速扫描安装中受影响的模块和代码可能很有用。

使用以下命令安装脚本

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

编辑您的Magento安装路径

$_magentoPath='/home/www/magento/';

跑

php magento_appsec_file_check.php

受影响的文件将显示：

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

该脚本使用grep在Magento文件中搜索代码的出现情况，这些代码可能会在应用SUPEE-6788时破坏与自定义项或扩展名的向后兼容性。

— j
source

4

SUPEE-6788将会打破所有扩展的清单，

— 加里·奥尔德曼
source

我真的很想知道如何收集此列表。

— mam08ixo

3

它是众包的；原始来源是：docs.google.com/spreadsheets/d/...

— 赫尔曼Slatman

请从上面的页面和链接到源代替，这是跟上最新删除列表docs.google.com/spreadsheets/d/...

— 阿德Mathijssen

1

是否有任何联系可告知更新版本？我看到至少有2-3个已经更新的模块。

— versedi

-1

可以通过内容过滤器处理的允许变量列表大于PDF中显示的列表：

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

（我+在PDF之前未描述的变量之前添加了一个）

可以通过内容过滤器处理的允许块为：

core/template
catalog/product_new

— 丹尼尔·范德加德
source