SUPEE-9767, মোডম্যান এবং সিমলিংক

আমি SUPEE-9767 সহ একটি ম্যাজেন্টো শপ প্যাচ করতে চাই। SUPEE-লিখে 9767 ডকুমেন্টেশন আমাকে অক্ষম প্যাচ প্রয়োগ করার আগে সেটিং Symlinks করতে বলে:

প্যাচ প্রয়োগ করার আগে বা সর্বশেষ রিলিজে আপগ্রেড করার আগে সিমলিংকস সেটিংটি অক্ষম করার বিষয়টি নিশ্চিত করুন ... সেটিংসটি সক্ষম করা থাকলে কনফিগারেশন ফাইল সেটিংসকে ওভাররাইড করবে এবং এটির পরিবর্তনের জন্য সরাসরি ডাটাবেস পরিবর্তন প্রয়োজন হবে।

তবে আমি মডিউলগুলি পরিচালনা করতে মোডম্যান ব্যবহার করি এবং যেহেতু কিছু মডিউলগুলি টেম্পলেট ফাইলগুলি ব্যবহার করছে তাই সিমলিংকস সেটিংটি মোডম্যানের README এর পরামর্শ অনুযায়ী সক্ষম করা হয়েছে। সিকিউরিটি প্যাচ SUPEE-9767 - সম্ভাব্য সমস্যাগুলির মধ্যে পোস্টগুলির একটি হিসাবে সিমলিংক সেটিং সক্ষম করে রাখা কি নিরাপদ ? পরামর্শ দেয় (আমি নতুন ব্যবহারকারী হওয়ার পরেও পোস্টগুলিতে আমি মন্তব্য করতে পারি না)?

Magento 1.x মডিউলগুলি পরিচালনা করতে মোডম্যান ব্যবহারকারী ব্যবহারকারীদের নিশ্চিত হওয়া উচিত যে তারা সিমলিঙ্কগুলি অক্ষম করবেন না কারণ এটি মোডম্যান মডিউলগুলি অক্ষম করবে।

যদি আমি সিমলিংকগুলি সেটিং সক্ষম করে ছেড়ে যায়, তবে কী অ্যাপসইএসসি -1281: সিমলিংকের মাধ্যমে দূরবর্তী কোড কার্যকরকরণ , এই প্যাচটিকে সুরক্ষিত করার জন্য সুরক্ষা হুমকির মুখোমুখি হবে না ?

এই প্যাচ পরে টেমপ্লেট ফাইল সহ মোডম্যান ব্যবহারের অন্যান্য উপায় আছে? (আমি "ম্যাজ / কোর / ব্লক / টেমপ্লেট.এফপি এর বিকল্পের সংস্করণ সম্পর্কে জানি) যে পদ্ধতিতে মডম্যানের রিডএমই উল্লেখ করেছে, তবে একটি মূল ফাইল প্যাচ করা বিপজ্জনক বলে মনে হচ্ছে।)

এই পরিবর্তনটি সম্পর্কে এখানে কিছু স্পষ্টতা রয়েছে:

প্রথমে পিটার ও'ক্যালাঘান এর এই ব্যাখ্যাটি পড়ুন এটি আপনাকে দুর্দান্ত বোঝার সুযোগ দেবে: https://peterocallaghan.co.uk/2017/06/appsec-1281- উদ্বেগজনক- symlinks/

এছাড়াও আরও একটি আকর্ষণীয় পঠন হ'ল ম্যাক্স চাদউইকের এই পোস্টটি https://maxchadwick.xyz/blog/ কি- না- সাইমলিংকস- প্রকৃতপক্ষে

এই পরিবর্তনটি টেম্পলেট নির্দেশের মাধ্যমে আপলোডযোগ্য সামগ্রী (চিত্রগুলির মতো) কল করার বিষয়ে about

সিমলিংক সম্পর্কিত সমস্যাটি কেবল অ্যাডমিন অ্যাক্সেসের সাথেই কাজে লাগানো যায় এবং ম্যাগেন্টো ছবি আপলোডগুলির আশেপাশে আরও কিছু সুরক্ষা যুক্ত করেছিল।

দয়া করে নোট করুন যে সেটিংটি ছাড়াও এটির ব্যবহারের জ্ঞাত উপায়ের বিরুদ্ধে কিছু সুরক্ষা।

সুতরাং আপনি যদি জড়িত ঝুঁকিটি বুঝতে পারেন তবে আপনি সিমলিংকগুলি সক্ষম রাখতে পারেন।

আপনি যদি তাদের নতুন করে ইনস্টল করতে সক্ষম করতে চান তবে চালাতে পারেন:

UPDATE core_config_data SET value = 1 WHERE path = "dev/template/allow_symlink";

ইস্যুটি প্রতিলিপি নয়, সমস্যাটি এমন পাথ যা এর স্তরে পৌঁছায় ../../../../../media/tmp/hahaha.png। আমি যদি এতে ভুল হয়ে থাকি তবে দয়া করে আমাকে আলোকিত করুন। "ফিক্স" শিরোনাম ছিল "সিমলিংকগুলিকে মঞ্জুরি দিন" এবং এটি সক্ষম করে যা ব্যবহার করে প্রয়োগ করা হয়েছিল তা চেকটি অক্ষম করে realpath()। আমার মতে এমন একটি ফিক্স যা ঠিক সুরক্ষিত, আরও পারফরম্যান্ট এবং এখনও সিমলিংকের সাথে সামঞ্জস্যপূর্ণ তা হ'ল ব্যবহার করা strpos($path, '..')এবং / অথবা পরীক্ষা করে দেখা যায় যে realpath()কিছু ঝুঁকিপূর্ণ ডিরেক্টরি যেমন mediaএবং এর সাথে মেলে var। যদি এটির মতো প্রয়োগ করা হয় তবে এটি কনফিগার করার দরকার নেই এটি কেবল সর্বদা সক্ষম করা যেতে পারে এবং এখনও হাজার হাজার স্টোর ভাঙেনি।

নির্বিশেষে, আপনার ওয়েব সার্ভার ব্যবহারকারীর উত্স কোড ডিরেক্টরিতে ফাইলগুলি লেখার অ্যাক্সেস থাকা উচিত নয় (যেমন ম্যাজেন্টো কানেক্ট কান্ট ...) যাতে দূষিত কোডটি কোথাও লিখিত হওয়া এবং ব্লক টেম্পলেট হিসাবে কার্যকর করা রোধ করার অন্য উপায়।

সুতরাং, সিমলিংকের উপর এই আক্রমণটি কেবলমাত্র ভুল দিকনির্দেশিত এবং একটি আরও ভাল ফিক্স বিদ্যমান। প্রকৃতপক্ষে, আমি এক বছর আগে সরবরাহ করেছি এবং এটির একটি লিঙ্কও আছে মডম্যান গিথুব README এ।

যদি আপনার সুরকার ফাইলের অতিরিক্ত আপনি নিজের ফাইলগুলি অনুলিপি করার জন্য ম্যাজেন্টো-ডিপ্লয়েস্ট্রেটজি সেট করেন তবে সিমলিংকের পরিবর্তে বিক্রেতা ফোল্ডার থেকে অনুলিপি করা হবে।

    "extra":{
        "magento-root-dir":"./",
        "magento-deploystrategy":"copy",
        "magento-force": true
    }

তারপরে আপনি আপনার কোর_কনফিগ_ডেটা কে দেব / টেম্পলেট / অনুমতি_সাইকেলিংকের মান 0 এ সেট করতে পরিবর্তন করতে পারেন

তথ্য সংস্থান

এই প্যাচ পরে টেমপ্লেট ফাইল সহ মোডম্যান ব্যবহারের অন্যান্য উপায় আছে?

আপনি বিভিন্ন উপায়ে SUPEE-9767 পরিবর্তনগুলি ওভাররাইড করতে পারেন, দেখুন:

SUPEE-9767 V2 ইনস্টল করার পরে কীভাবে সিমলিংক সক্ষম করবেন?