セキュリティパッチSUPEE-6788の影響を受けるモジュールを確認する方法

2015年10月27日に、MagentoはセキュリティパッチSUPEE-6788をリリースしました。技術的な詳細によると、修正された4つのAPPSECには、ローカルモジュールとコミュニティモジュールでのいくつかの修正が必要です。

• APPSEC-1034、カスタム管理URLのバイパスのアドレス指定（デフォルトでは無効）
• APPSEC-1063、可能なSQLインジェクションに対処
• APPSEC-1057、テンプレート処理方法により、個人情報にアクセスできます
• APPSEC-1079、カスタムオプションファイルタイプで潜在的なエクスプロイトに対処

このセキュリティパッチの影響を受けるモジュールを確認する方法を知りたいと思いました。

私は次の部分的な解決策を思いつきました：

• APPSEC-1034：<use>admin</use>すべてのローカルおよびコミュニティモジュールのconfig.xmlで検索します。これにより、この問題の影響を受けるすべてのモジュールがリストされるはずです。
• APPSEC-1063：を検索addFieldToFilter('(し、addFieldToFilter('`地元やコミュニティのモジュールのすべてのPHPファイルに。変数も使用できるため、これは不完全です。
• APPSEC-1057：を検索{{config path=し、{{block type=地元やコミュニティのモジュールのすべてのPHPファイルで、そしてホワイトリストからすべての要素をフィルタリングします。ただし、管理者によって追加されたテンプレート変数が含まれていないため、これは不完全です。
• APPSEC-1079：わかりません。

Peter Jaap BlaakmeerによってコンパイルされたAPPSEC-1034およびAPPSEC-1063に対して脆弱な拡張機能のリストもあります。

SUPEE-6788がリリースされ、管理ルーティングの変更がデフォルトでオフになりました。つまり、パッチには修正が含まれますが、インストール時に無効になります。これにより、コードを更新する時間が追加され、商人は拡張機能とカスタマイズが更新されて機能するようになったら、パッチのこの部分を柔軟に有効にすることができます。

パスのインストール後に拡張機能の管理ルーティング機能を有効にするには、[管理]-> [詳細]-> [管理]-> [セキュリティ]に移動します。

Magento CE 1.4-1.6パッチは遅れており、約1週間で利用可能になるはずです！

SUPEE-6788リソースリスト

• 公式詳細＆ダウンロードSUPEE-6788 - http://magento.com/security/patches/supee-6788＆ https://www.magentocommerce.com/download

• どのように有益なヒントをSUPEE-6788の議論を適用するには - https://magento.meta.stackexchange.com/a/734/2282

• SSHなしSUPEE-6788をインストールします - https://magentary.com/kb/install-supee-6788-without-ssh/

• GitHubのCE 1.7.0.1-1.9.2.1のSUPEE-6788 - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• EE 1.12.xのSUPEE-6788-GitHubの1.14.x - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788と下位互換性 - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788-Technical%20Details.pdf

• SUPEE-6788 / Magentoの1.9.2.2 / EE 1.14.2.2で壊れる拡張機能の最新のリストまでドライブコミュニティ - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/htmlview?sle=true# gid = 0

• 役立つMagerunコマンド https://github.com/peterjaap/magerun-addons

  • n98-magerun dev：template-var-SUPEE-6788およびMagento 1.9.2.2と互換性がある非ホワイトリストの変数/ブロックを検索
  • n98-magerun.phar dev：old-admin-routing-古いスタイルの管理ルーティングを使用する拡張機能を検索します（SUPEE-6788およびMagento 1.9.2.2と互換性がありません）

• ストアがパッチを適用/影響を受けるかどうかをチェック - https://www.magereport.com/

• フロントページでカスタムブロックのいくつかは、パッチのインストール後に消失している - APPSEC-1057は、ホワイトリストテーブルに変数またはブロックを追加する方法＆https://www.pinpointdesigns.co.uk/blog/magento-ce-patch-supee -6788-custom-blocks-issue /

• Magento SUPEE-6788 Developer Toolbox-パッチhttps://github.com/rhoerr/supee-6788-toolboxから主要な問題を見つけて自動的に解決し ます

• MageDownload CLI - Magentoのリリースとパッチのダウンロードを自動化するためのPHPツール - https://github.com/steverobbins/magedownload-cli

• どのようにSUPEE-6788用のテンプレート変数やブロックをホワイトリストに - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• 既知のAPPSEC影響を受けるコードのためにMagentoのファイルをチェック - https://github.com/Schrank/magento-appsec-file-check

• SUPEE 6788 Magentoのパッチのインストールに関する一般的な問題 - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• MagentoのパッチSUPEE-6788のパフォーマンス改善 - https://github.com/EcomDev/SUPEE6788-PerformanceFix、https://gist.github.com/DimaSoroka/a3e567ddc39bd6a39c4e、詳細- http://www.magecore.com/blog / news / performance-issues-magento-security-patch-supee-6788

競合の検出に関する他のコメントに沿って、ParadoxLabsでは、APPSEC-1034（管理コントローラー）およびAPPSEC-1057（ホワイトリスト）の影響を受けるすべてのものを追跡するスクリプトを作成しました。また、不正なコントローラーの修正も試みます。これは、かなり正確で侵襲的な変更であるためです。

APPSEC-1063（SQLインジェクション）またはAPPSEC-1079（カスタムオプション）はカバーしていませんが、可能であればすばらしいでしょう。どんな精度でそれらを検出するかわからない。私たちは貢献に対してオープンです。

https://github.com/rhoerr/supee-6788-toolbox

このphpスクリプトは、提案されたSUPEE-6788パッチの影響を受けるMagentoコードを識別するのに役立つ場合があります。

これは、このパッチの絶対確実なセキュリティチェックではありませんが、影響を受けるモジュールとコードをインストールからすばやくスキャンするのに役立つ場合があります。

スクリプトをインストールします

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

Magentoインストールへのパスを編集します

$_magentoPath='/home/www/magento/';

走る

php magento_appsec_file_check.php

影響を受けるファイルが表示されます：

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

スクリプトはgrepを使用して、SUPEE-6788が適用された場合にカスタマイズまたは拡張機能との下位互換性を壊す可能性のあるコードの出現についてMagentoファイルを検索します。

SUPEE-6788で壊れるすべての拡張機能を含む大きなリストがすでに利用可能です

詳細はこちら：https : //docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

コンテンツフィルターを介して処理できる許可された変数のリストは、PDFに表示されたものよりも大きくなります。

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

（+PDFに記載されていない変数の前に追加しました）

コンテンツフィルターを介して処理できるブロックは次のとおりです。

core/template
catalog/product_new