টেমপ্লেটগুলিতে সিমলিংকগুলি কী সুরক্ষা সমস্যা এবং যদি হ্যাঁ, তবে কেন?

ম্যাজেন্টো সিমলিংকের মাধ্যমে টেম্পলেটগুলি ব্যবহার না করার পরামর্শ দেয়:

Advanced > Developer > Template Settings > Allow Symlinks

সতর্কবাণী! উত্পাদন পরিবেশে এই বৈশিষ্ট্যটি সক্ষম করার প্রস্তাব দেওয়া হয় না কারণ এটি একটি সম্ভাব্য সুরক্ষা ঝুঁকি উপস্থাপন করে।

আজ অবধি আমি এখানে কোনও ঝুঁকি দেখতে পাচ্ছি না।

• ঝুঁকি কি?

সিমলিংকগুলি অগত্যা খারাপ নয়।

প্রথমত: যদি একটি সিমলিংক লক্ষ্য খোলার চেষ্টা করা হয়, তবে লক্ষ্যটির ফাইল অনুমতিগুলি কার্যকর হয়। যদি আপনাকে সিমলিংক লক্ষ্যটি পড়তে / লিখতে / চালানোর অনুমতি না দেওয়া হয় তবে কিছুই ঘটে না।

তবে: আপনি হয়ত আপনার ডকুমেন্টের মূলের বাইরে ফাইল চালাতে সক্ষম হবেন (কখনও কখনও তাদের সাথে এটিই করতে চান, তাই না?)। সমস্যাটি দেখা দিতে পারে যদি আপনি কোনও সেক্সেক পরিবেশে না থাকেন এবং কোনও শেয়ার্ড হোস্টিংয়ে কোনও ব্যবহারকারী apacheবা www-dataব্যবহারকারী থাকে যা বিভিন্ন অ্যাকাউন্ট থেকে ফাইল সরবরাহ করার দায়িত্বে থাকে। আপনার সিস্টেম ব্যবহারকারীকে অন্য গ্রাহকের ফাইল অ্যাক্সেস করার অনুমতি নেই তবে apache/www-dataব্যবহারকারীর বেশিরভাগ অংশীদারি অ্যাকাউন্টে পঠনের অধিকার থাকবে। এটি এমন একটি দৃশ্য হতে পারে যেখানে কোনও ব্যবহারকারী ভাগ করা হোস্টে অন্য ব্যবহারকারীর ফাইল অ্যাক্সেস করতে পারে। আপনার নিজের ব্যবহারকারীর সাথে নয়, তবে apache/www-dataব্যবহারকারীর সাথে ব্রাউজারের মাধ্যমে ফাইল অ্যাক্সেস করে । সংক্ষিপ্তসার হিসাবে: এই পরিস্থিতিতে আপনি অন্যান্য ব্যবহারকারীর ফাইল => খারাপ ব্যবহার করতে সক্ষম হবেন।

পরবর্তী খারাপ জিনিসটি হ'ল কোনও আক্রমণকারী সিমলিংকগুলি তৈরি করতে পারে, / ইত্যাদি / পাসডাব্লুড, ... ইত্যাদি ফাইলগুলিতেও এই ডেটাটি ডাউনলোড করে এই তথ্যটি নিয়ে এগিয়ে যেতে পারে। এটি কেবলমাত্র সিমলিংকের উপরই নয়, একটি খারাপ সার্ভার কনফিগারেশন পর্যন্ত (যেখানে এই ফাইলগুলিতে অ্যাক্সেস কঠোরভাবে সীমাবদ্ধ) is তাই সিমলিংক ব্যবহার না করা আরও কিছু সম্ভাব্য আক্রমণ থেকে বাধা দেয়।

এটি কেবল সিমলিংক নিজেই একটি সুরক্ষা ঝুঁকিপূর্ণ বিষয় নয়, তবে একটি সার্ভার কনফিগারেশন সমস্যা।

হ্যাঁ তারা, সাধারণত ওয়েবসার্সগুলিতেও "ডমন সিমলিংকগুলি অনুসরণ করে না" কনফিগারেশন থাকে বা কমপক্ষে একটি "একই ব্যবহারকারীর সাথে লক্ষ্যমাত্রার সিমলিংকগুলি অনুসরণ করে" থাকে কারণ ওয়েবসার্ভার / পিএইচপি সাধারণত আরও অধিকার নিয়ে চলে তবে আপনার অ্যাক্সেস থাকা উচিত।

এবং ওয়েবসার্সগুলি সাধারণত দৃশ্যমান / ইত্যাদি / ছায়ার মতো বিষয়গুলি এড়াতে চেষ্টা করে, এটি ম্যাজেন্টো টেম্পলেটগুলির জন্য আরও বিপজ্জনক, কারণ টেমপ্লেটগুলি অন্তর্ভুক্ত করা হয় () এর ফলে আপনার যদি খুব ভাল কন্ট্রোল থাকে তবে আপনার ফাইলগুলিতে সম্পূর্ণ নিয়ন্ত্রণ থাকতে পারে না।

আপনি তর্ক করতে পারেন, অন্য সমস্যাগুলি তখনও রয়েছে তবে প্রকৃত প্রতিটি আক্রমণাত্মক পরিস্থিতি কে জানে এবং বেশিরভাগ সময় এর বিভিন্ন কম সমস্যাযুক্ত সুরক্ষা গর্তের সংমিশ্রণ ঘটে যা বড় ব্রেকগুলির দিকে পরিচালিত করে।

এছাড়াও, মিডিয়া ডিরেক্টরি এবং সিমলিংকগুলি সম্পর্কে কিছু সময় আগে একটি সুরক্ষা ফিক্স ছিল, সুতরাং সম্ভাব্য আক্রমণ পরিস্থিতিগুলির জন্য আপনার সেখানে নজর দেওয়া উচিত।

আমি কেবল ভাগ করা হোস্টগুলিতে এটি ঝুঁকিপূর্ণ হতে পারে তা কল্পনা করতে পারি, যা প্রথম স্থানে ইকমার্সের জন্য ব্যবহার করা উচিত নয়।

ম্যাজেন্টো প্যাচ SUPEE-9767 এ APPSEC-1281 অন্তর্ভুক্ত করেছে: সিমলিংকের মাধ্যমে রিমোট কোড এক্সিকিউশন , সুতরাং হ্যাঁ, টেমপ্লেটগুলিতে সিমলিঙ্কগুলি একটি সুরক্ষা সমস্যা।

প্রকার:
রিমোট কোড এক্সিকিউশন (আরসিই)

সিভিএসএসভি 3 তীব্রতা:
8.8 (উচ্চ)

পরিচিত আক্রমণ:
হ্যাঁ। আক্রমণকারীরা অ্যাডমিন অ্যাক্সেস পাওয়ার পরে একটি কনফিগারেশন সুরক্ষা অক্ষম করছে এবং দূষিত কোড আপলোড করছে।

বিবরণ:
কনফিগারেশন সেটিংসে AllowSymlinks বিকল্পের ব্যবহার দূষিত কোড থাকা কোনও চিত্রের আপলোড সক্ষম করতে পারে। যদিও এই বিকল্পটি ডিফল্টরূপে অক্ষম করা হয়েছে, স্টোর কনফিগারেশন সেটিংসে অ্যাক্সেস সহ একজন আক্রমণকারী এটি সক্ষম করতে এবং দূরবর্তীভাবে কোড চালিয়ে দিতে পারে।

পণ্য (গুলি) প্রভাবিত:
1.9.3.3 এর আগে ম্যাজেন্টো সিই এবং 1.14.3.3 এর আগে ম্যাজেন্টো ইই

স্থির মধ্যে:
সিই 1.9.3.3, EE 1.14.3.3, SUPEE-9767

রিপোর্টার:
উইলকো নিনেহাউস

অনুমতি দেওয়ার জন্য সুপারিশ করবেন না। সিমলিঙ্কগুলি সক্ষম করার সময় আমি জেএস লোডিংয়ের ত্রুটির মুখোমুখি হয়েছি।
প্রচুর;

TypeError: $। উইজেট কোনও ফাংশন নয়

সাফল্যের সাথে লোড হওয়া পৃষ্ঠাগুলির জন্য আমাকে 4-5 রিফ্রেশ করার চেষ্টা করতে হবে।
এটি বন্ধ করার পরে, প্রথমবারের জন্য ধীরে ধীরে রিসোর্স লোড স্থাপন করা যাবে না তবে জেএস ত্রুটি চলে গেছে।

পিএস: সিমিলিংকটি অক্ষম করার পরে, স্ট্যাটিকের জন্য প্রতিটি পরিবর্তনের পরে আপনাকে ফাইলের অনুলিপি করা কপিটি মুছতে হবে ph