한마디로 그렇습니다. 패치가 포함 된 보안 릴리스가 발행되지 않았으므로 CE 1.7은 이러한 특정 공격에 여전히 취약합니다.
후자 인 세션 고정 공격의 경우, 변경은 Magento가 현재 보안 모범 사례와 일치하도록 이미 사용했던 보안 관행의 업그레이드입니다. CSRF 수정 사항으로 패치를 발행하는 경우 CE 1.7에 발행 될 가능성이 없습니다.
실제 문제는 이러한 CSRF 취약점이 정확히 무엇입니까? 의심 할 여지없이 릴리스 노트에 구체적인 내용이 포함되어 있지 않기 때문에 모든 이전 릴리스를 더욱 위험에 빠뜨릴 수 있지만 이전 구현을 패치하기 위해 알아두면 좋을 것입니다.
업데이트 # 1 :
Magento에 연락하여 위의 취약점에 대한 패치를 언제 발표 할 것인지 알아 냈을 때 다음과 같은 응답을 받았습니다.
좀 더 연구 해 볼 시간을주세요. 이 두 항목에 대한 패치가 시스템에 버그가 아닌 제품 개선 사항으로 나열되어 있는지 확실하지 않습니다. 더 많은 정보를 얻으면 업데이트하겠습니다.
패치를받을 때 여기에 자세한 내용을 다시 게시 할 예정이며 현재 존재하는 패치가없는 것 같아 패치를 발급 받기 위해 최선을 다할 것입니다.
업데이트 # 2 : 지원 팀과의 대화 후 Magento EE 1.12.0.2에 대한 적절한 패치를 얻을 수있었습니다. Magento CE 1.7.0.2에 대한 패치는 발행되지 않았으며 내부적으로 조사한 기술자가 아는 한 향후 CE 1.8에서만 문제를 해결하는 대신 CE 1.7.x에 대한 공식 패치를 발표 할 계획이 없습니다. 안정된 방출.
EE 특정 패치 파일에 관해서는 필자가 Magento와 개인적으로 그리고 내가 일하는 회사 사이에서 NDA를 위반 한 것이기 때문에 직접 여기 (또는 패치 응용 프로그램 도구)를 게시 할 수 없습니다. 관련 패치의 이름은 "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh"— Enterprise Edition 또는이를 사용하는 클라이언트가있는 경우 Magento 지원 팀에이 패치를 요청할 수 있습니다. 수정해야하는 CSRF 취약성
CE 1.7.0.2 사용자의 경우 Magento CE 1.7.0.2 코어 코드 파일을 변경하는 코드 덩어리 만 포함하는 패치 파일 (Magento에서 제공 한 패치를 기반으로)을 자유롭게 생성 할 수 있습니다. 일반적인 방식으로, 관련없는 코드 변경과 함께 관련없는 추가 주석 및 조정 된 형식이 포함됩니다. 이를 작성하려면 제공된 패치 적용 도구를 사용하여 적용하기 위해 원래 패치를 수동으로 변경 한 다음 git을 사용하여 적용된 변경 사항에 따라 패치를 생성해야합니다.
내가 만든 패치 파일은이 요지에서 다운로드 할 수 있습니다 : https://gist.github.com/davidalger/5938568
패치를 적용하려면 먼저 Magento 설치 루트로 cd하고 다음 명령을 실행하십시오. patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE 특정 패치에는 Enterprise 특정 컨트롤러에 대한 양식 키 유효성 검사, 패치 된 컨트롤러 작업에 사용되는 양식에 양식 키를 포함하도록 Enterprise / default 및 enterprise / iphone 템플릿 파일에 대한 변경 사항 및 올바르게 처리하기위한 추가 전체 페이지 캐시 기능이 포함되었습니다. 캐시 된 페이지에서 양식 키를 앞뒤로 전달
면책 조항 : Magento가 제공 한 EE 패치 나 링크 된 요지에 업로드 한 패치를 테스트하지 않았습니다. 참조 된 요지에 제공된 패치에는 무보증이 제공되며 CE 1.8 릴리스 정보에 언급 된 취약점을 완전히 해결하거나 해결하지 못할 수 있습니다. 테스트되지 않은 패치로서 전체 또는 일부 기능을 보장하지는 않습니다. 즉, 자신의 책임하에 사용하고 프로덕션 환경에 배포하기 전에 테스트하기 위해주의를 기울입니다. 패치 관련 문제를 발견하면 알려 주시면 업데이트하겠습니다.