সংক্ষেপে, হ্যাঁ সিই 1.7 এখনও সেই নির্দিষ্ট আক্রমণগুলির পক্ষে ঝুঁকিপূর্ণ কারণ কোনও সুরক্ষা মুক্তি দেওয়া হয়নি যার একটি প্যাচ রয়েছে।
দ্বিতীয়টির ক্ষেত্রে, একটি অধিবেশন স্থিরকরণ আক্রমণ, এই পরিবর্তনটি সেই সুরক্ষা অনুশীলনের একটি আপগ্রেড যা ম্যাগেন্টো ইতিমধ্যে বর্তমান সুরক্ষা সর্বাধিক অনুশীলনের সাথে সামঞ্জস্য রেখে ব্যবহার করত। সিএসআরএফ সংশোধনগুলির সাথে যদি তারা কোনও প্যাচ ইস্যু করে তবে সিই 1.7 কে জারির সম্ভাব্য কিছু নেই।
আসল প্রশ্নটি হ'ল এই সিএসআরএফ দুর্বলতাগুলি ঠিক কী ছিল তা ঠিক করা হয়েছিল? নিঃসন্দেহে একটি ভাল জিনিস যে তারা রিলিজ নোটগুলিতে বিশদগুলি অন্তর্ভুক্ত করেনি, ফলে সমস্ত পূর্ববর্তী রিলিজকে আরও বিপন্ন করে তোলে, তবে পুরানো বাস্তবায়নগুলি প্যাচ করার জন্য জেনে রাখা ভাল লাগবে।
আপডেট # 1:
তারা উপরের দুর্বলতার জন্য কখন প্যাচ দেবে তা জানতে ম্যাগান্টোর কাছে পৌঁছে আমি নিম্নলিখিত উত্তরটি পেয়েছি:
আরও গবেষণা করার জন্য আমাকে কিছু সময় দেওয়ার অনুমতি দিন। আমি নিশ্চিত না যে এই দুটি আইটেমের জন্য প্যাচগুলি উপলব্ধ রয়েছে কিনা, কারণ সেগুলি আমাদের সিস্টেমে পণ্য বর্ধন হিসাবে তালিকাভুক্ত করা হয়েছে, বাগ হিসাবে নয়। আমি আরও তথ্য পেলে আপনাকে আপডেট করব।
আমি এগুলি পাওয়ার সাথে সাথে এখানে আরও বিবরণ পোস্ট করব এবং প্যাচগুলি ইস্যু করার জন্য যথাসাধ্য চেষ্টা করব কারণ মনে হয় যে কোনও প্যাচ বর্তমানে বিদ্যমান নেই।
আপডেট # 2: সমর্থন দলের সাথে পিছনে এবং পরে, আমি ম্যাজেন্টো EE 1.12.0.2 এর জন্য একটি উপযুক্ত প্যাচ পেতে সক্ষম হয়েছি। ম্যাজেন্টো সিই ১..0.০.২. এর জন্য কোনও প্যাচ জারি করা হয়নি, এবং যে প্রযুক্তিবিদ আমার পক্ষে অভ্যন্তরীণভাবে এটি দেখেছিলেন, তিনি জানেন, কেবলমাত্র আসন্ন সিই ১.৮ এ সমস্যাগুলি সমাধান করার পরিবর্তে সিই ১.7.x এর জন্য অফিসিয়াল প্যাচ ছাড়ার কোনও পরিকল্পনা নেই। স্থিতিশীল রিলিজ.
EE নির্দিষ্ট প্যাচ ফাইল হিসাবে, আমি এটি সরাসরি (বা প্যাচ অ্যাপ্লিকেশন সরঞ্জাম) এখানে পোস্ট করতে পারি না কারণ এটি নিঃসন্দেহে Magento এবং আমার ব্যক্তিগতভাবে এবং আমি যে কোম্পানির জন্য কাজ করি তার মধ্যে এনডিএ লঙ্ঘন হবে। প্রাসঙ্গিক প্যাচটির নাম: "PATCH_SUPEE-1513_EE_1.12.0.2_v1.sh" - আপনার যদি এন্টারপ্রাইজ সংস্করণ বা এটির কোনও ক্লায়েন্ট ব্যবহার করে থাকে তবে আপনার এই প্যাচটি ম্যাগেন্টো সমর্থন দলের কাছ থেকে একটি নোট সহ অনুরোধ করতে সক্ষম হবেন সিএসআরএফ দুর্বলতা যা এটি ঠিক করার কথা।
সিই ১.7.০.২ ব্যবহারকারীদের জন্য, আমি প্যাচ ফাইল তৈরি করার স্বাধীনতা নিয়েছি (ম্যাজেন্টো প্রদত্ত প্যাচের উপর ভিত্তি করে) যার মধ্যে কেবল কোডের হান্ক রয়েছে যা ম্যাগেন্টো সিই ১.7.০.২ কোর কোড ফাইলগুলিকে পরিবর্তন করে। সাধারণ ফ্যাশনে এতে যুক্ত কোডের অপ্রাসঙ্গিক বিট এবং প্রাসঙ্গিক কোড পরিবর্তনের সাথে অ্যাডজাস্ট করা ফর্ম্যাটিং রয়েছে। প্রয়োজনীয় প্যাচ প্রয়োগকারী সরঞ্জামটি ব্যবহার করে এটি প্রয়োগ করতে মূল প্যাচটিকে ম্যানুয়ালি পরিবর্তিত করে প্রয়োজনীয় প্রয়োগগুলি তৈরি করা, তারপরে প্রয়োগিত পরিবর্তনের উপর ভিত্তি করে প্যাচ তৈরি করতে গিট ব্যবহার করুন।
আমি যে প্যাচ ফাইলটি তৈরি করেছি তা এই সূচনা থেকে ডাউনলোড করা যেতে পারে: https://gist.github.com/davidalger/5938568
প্যাচ প্রয়োগ করতে, প্রথমে আপনার ম্যাজেন্টো ইনস্টলেশনটির মূলের মধ্যে সিডি করুন এবং নীচের কমান্ডটি চালান: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE নির্দিষ্ট প্যাচটিতে এন্টারপ্রাইজ নির্দিষ্ট নিয়ন্ত্রকদের ফর্ম কী বৈধতা যাচাই করা হয়, প্যাচযুক্ত নিয়ামক ক্রিয়াকলাপের জন্য ব্যবহৃত ফর্মগুলিতে ফর্ম কী অন্তর্ভুক্ত করার জন্য এন্টারপ্রাইজ / ডিফল্ট এবং এন্টারপ্রাইজ / আইফোন টেম্পলেট ফাইলগুলিতে পরিবর্তন এবং সঠিকভাবে অ্যাকাউন্টের জন্য অতিরিক্ত ফুল পেজ ক্যাশে ফান্টেনলিটি অন্তর্ভুক্ত করা হয় ক্যাশেড পৃষ্ঠাগুলিতে পিছনে ফর্ম কীগুলি পাস করা।
অস্বীকৃতি: আমি ম্যাজেন্টো দ্বারা সরবরাহিত EE প্যাচও পরীক্ষা করিনি বা আমি লিঙ্কযুক্ত মুষ্টিতে আপলোড করেছি। রেফারেন্সড গিস্টে প্রদত্ত প্যাচটি কোনও ওয়্যারেন্টি সরবরাহ করা হয়নি এবং সিই 1.8 রিলিজ নোটে উল্লিখিত দুর্বলতাগুলি পুরোপুরি সমাধান করতে পারে না বা করতে পারে না। একটি অনির্ধারিত প্যাচ হিসাবে, এটি পুরো বা অংশে কাজ করে এমন কোনও গ্যারান্টিও নেই। অর্থাৎ আপনার নিজের ঝুঁকিতে ব্যবহার করুন, এবং উত্পাদন পরিবেশে মোতায়েনের আগে পরীক্ষা করার জন্য যথাসাধ্য চেষ্টা করুন। যদি আপনি প্যাচ নিয়ে সমস্যাগুলি খুঁজে পান তবে আমাকে জানান এবং আমি এটি আপডেট করব।