Magento swf XSS 취약점-해결 방법?

12

http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/에 나열된 SWF / Flash 취약점에 따라

내가 확인한 것은 여전히 ​​Magento 1.9.1.0에 존재하며, 이것을 해결하는 가장 좋은 방법은 무엇입니까? 이러한 swf 파일에 대한 액세스를 차단하거나 제한하는 데 문제가 있습니까?

magento-1.9  adminhtml  security  skin 
롭 마 기아 피코
소스
2
Piotr Kaminski에 따르면 1.9.1.0에서 패치되었습니다. twitter.com/molotovbliss/status/537257580322488320
B00MER
좋아, 왜 내가 1.9.1.0이 여전히 취약하다고 생각하는지 알 것 같아. 1.9.0.1에서 업그레이드 한 일부 Magento 상점에서 테스트했으며 1.9.1.0에서 사용되지 않는 editor.swf 파일은 이전 버전에서 여전히 사용되었으므로 여전히 경고를 표시했습니다. appcheck는 uploader.swf 및 uploaderSingle.swf를 취약한 것으로 표시하지만 이러한 파일을 사용하는 모든 버전에서 경고가 표시되지 않습니다. 1.9.1.0에서 업 로더 swf 파일을 모두 업그레이드 했으므로 패치 된 것처럼 보입니다. 이전 1.9.0.1 및 이전 버전의 경우 업그레이드 외에 위험을 완화하는 데 사용할 수있는 패치 / 해결 방법이 있습니까?
Rob Mangiafico
패치 할 코드가있는 경우 두 개의 .swf 파일을 시도하여 교체해도 기능이 손상되지 않는지 확인할 수 있습니다. 불행히도 Magento가 이전 릴리스에서 공식 패치를 가지고 있지 않은 것 같습니다.
B00MER

답변:

10

전체 솔루션을 제공 할 수는 없기 때문에 100 % 유효한 Stack Exchange 답변은 아니지만 아무것도 게시하지 않는 것이 좋습니다.

이 문제를 해결하는 엔터프라이즈 지원의 패치가 있습니다. 패치를 게시 할 수는 없지만 Enterprise 고객 인 경우 일부 CE 버전과 호환되기 때문에 패치를 요청할 수 있습니다.

문제없이 공유 할 수있는 정보는 다음과 같습니다.

패치는 두 개의 SWF 파일을 삭제하고 업 로더 SWF를 수정합니다.

제공된 패치가 다음 CE 버전과 호환된다고 들었습니다.

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

또한 모든 EE 버전 <1.14.0.0과 호환되므로 패치가 EE 1.14에 포함 된 것 같습니다. CE 1.9에도 포함되어 있다는 것이 합리적입니다.

[업데이트] 패치가 CE 1.9.1에 통합되었다는 지원을 받았습니다. 따라서 해결책은 CE 1.9.1.0으로 업데이트하거나 Magento에서이 패치를 직접 요청해야합니다.

마티아스 자이스
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.