Magento swf XSSの脆弱性-対処方法

12

http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/にリストされているSWF / Flashの脆弱性ごと

私がMagento 1.9.1.0にまだ存在することを確認しましたが、これに対処する最良の方法は何ですか?これらのswfファイルへのアクセスのブロックまたは制限に関する問題はありますか?

magento-1.9  adminhtml  security  skin 
ロブ・マンジャフィコ
ソース
2
Piotr Kaminskiによると、1.9.1.0でパッチが適用されました。twitter.com/molotovbliss/status/537257580322488320-B00MER
1
1.9.1.0がまだ脆弱であると思った理由がわかりました。1.9.0.1からアップグレードしたいくつかのMagentoストアでテストしましたが、ファイルeditor.swf(1.9.1.0では使用されていません)が古いバージョンから残っていたため、アラートが表示されていました。appcheckはuploader.swfとuploaderSingle.swfを脆弱性としてリストしますが、これらのファイルを使用しているバージョンではアラートを表示できません。1.9.1.0は両方のアップローダーswfファイルをアップグレードしたので、パッチが適用されているようです。古い1.9.0.1以前のバージョンの場合、アップグレード以外にリスクを軽減するために使用できるパッチ/回避策はありますか?
ロブマンジャフィコ
2つの.swfファイルを置き換えてみて、機能に支障がないかどうかを確認できます。機能している場合は、パッチを適用するコードがあるかもしれません。残念ながら、Magentoには古いリリースでの公式パッチはないようです。
B00MER

回答:

10

完全なソリューションを提供することはできませんが、これはおそらく100%有効なStack Exchangeの回答ではありませんが、何もしないよりは投稿する方が良いと思います。

この問題を解決するエンタープライズサポートからのパッチがあります。パッチの公開は許可されていませんが、エンタープライズカスタマーの場合、一部のCEバージョンとも互換性があるため、パッチを要求できます。

トラブルを起こさずに共有できることを願う情報を以下に示します。

このパッチは2つのSWFファイルを削除し、アップローダーSWFを変更します。

提供されたパッチはこれらのCEバージョンと互換性があると言われました。

  • 1.4。*、1.5.0.1、1.6.0.0、1.6.1.0、1.7.0.0、1.7.0.2、1.8.0.0

さらに、すべてのEEバージョン<1.14.0.0と互換性があるため、パッチはEE 1.14に含まれていると思います。CE 1.9にも含まれていることは理にかなっています。

[更新]パッチがCE 1.9.1に組み込まれたことをサポートから通知されました。したがって、解決策は、CE 1.9.1.0に更新するか、Magentoにこのパッチを直接要求することです。

マティアス・ツァイス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.