ম্যাজেন্টো swf XSS দুর্বলতা - এটি কীভাবে সমাধান করবেন?

12

এসডাব্লুএফ / ফ্ল্যাশ দুর্বলতার জন্য এখানে লিখিত হয়েছে: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

যা আমি যাচাই করেছি তা এখনও ম্যাজেন্টো ১.৯.১.০-তে বিদ্যমান আছে, এটিকে সম্বোধন করার সর্বোত্তম পদ্ধতি কোনটি? এই swf ফাইলগুলিতে ব্লক বা অ্যাক্সেস সীমাবদ্ধ করার কোনও সমস্যা?

magento-1.9  adminhtml  security  skin 
রব ম্যাঙ্গিয়াফিকো
সূত্র
2
পাইওটার কামিনস্কির মতে এটি প্যাচ করা হয়েছিল 1.9.1.0। twitter.com/molotovbliss/status/537257580322488320
B00MER
ঠিক আছে, আমি মনে করি আমি কেন দেখি কেন আমি 1.9.1.0 এখনও দুর্বল হয়ে পড়েছিলাম। আমি এটি কয়েকটি ম্যাজেন্টো স্টোরগুলিতে পরীক্ষা করেছি যা 1.9.0.1 থেকে আপগ্রেড হয়েছিল এবং ফাইল সম্পাদক.swf (যা 1.9.1.0 এ ব্যবহৃত হয় না) সেখানে পুরানো সংস্করণগুলি থেকে এখনও রয়েছে, তাই এটি এখনও সতর্কতা দেখিয়েছে। অ্যাপচেকটি আপলোডার.এসডাব্লুএফ এবং আপলোডারসিংল.এসডাব্লুটিকে দুর্বল হিসাবে তালিকাভুক্ত করে, তবে আমি এই ফাইলগুলি ব্যবহার করে কোনও সংস্করণে উপস্থিত হওয়ার সতর্কতা পেতে পারি না। আমি দেখি 1.9.1.0 আপলোডকারী এসএফএফ ফাইল উভয়কেই আপগ্রেড করেছে, সুতরাং দেখে মনে হচ্ছে তারা প্যাচ করেছে। পুরানো ১.৯.০.১ এবং পুরানো সংস্করণগুলির জন্য, এমন কোনও প্যাচ / ওয়ার্কআউন্ড রয়েছে যা আপগ্রেড করার পাশাপাশি ঝুঁকি হ্রাস করতে ব্যবহার করা যেতে পারে?
রব ম্যাঙ্গিয়াফিকো
আপনি দুটি .swf ফাইল চেষ্টা করে প্রতিস্থাপন করতে পারেন এবং দেখুন এটি কোনও কার্যকারিতা ভঙ্গ করে না, যদি তা না থাকে তবে প্যাচ করার কোড থাকতে পারে। দুর্ভাগ্যক্রমে এটি মনে হচ্ছে না যে পুরানো রিলিজগুলির জন্য ম্যাজেন্টোর একটি অফিসিয়াল প্যাচ রয়েছে।
B00MER

উত্তর:

10

এটি সম্ভবত কোনও 100% বৈধ স্ট্যাক এক্সচেঞ্জের উত্তর নয় কারণ আমি সম্পূর্ণ সমাধান সরবরাহ করতে পারি না তবে আমি মনে করি এটিকে কিছুই না বলে পোস্ট করা ভাল।

এন্টারপ্রাইজ সহায়তা থেকে একটি প্যাচ রয়েছে যা সমস্যাটি সমাধান করে। আমাকে প্যাচ প্রকাশের অনুমতি নেই তবে আপনি যদি কোনও এন্টারপ্রাইজ গ্রাহক হন তবে আপনি প্যাচটি চাইতে পারেন কারণ এটি কিছু সিই সংস্করণের সাথে সামঞ্জস্যপূর্ণ।

এখানে কিছু তথ্য যা আমি আশা করি যে আমি সমস্যায় না পড়েই ভাগ করে নিতে পারি:

প্যাচ দুটি এসডাব্লুএফ ফাইল মুছে ফেলে এবং আপলোডার এসডাব্লুএফগুলি সংশোধন করে।

আমাকে বলা হয়েছিল যে সরবরাহিত প্যাচটি এই সিই সংস্করণগুলির সাথে সামঞ্জস্যপূর্ণ:

  • 1.4। *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

তদুপরি এটি সমস্ত EE সংস্করণ <1.14.0.0 এর সাথে সামঞ্জস্যপূর্ণ তাই আমি অনুমান করি প্যাচটি EE 1.14 এ অন্তর্ভুক্ত রয়েছে। এটা বোঝাতে হবে যে এটি সিই এর মধ্যেও অন্তর্ভুক্ত ছিল 1.9।

[আপডেট] আমাকে সমর্থন দ্বারা জানানো হয়েছিল যে প্যাচটি সিই ১.৯.২.২০ তে অন্তর্ভুক্ত করা হয়েছে। সুতরাং সমাধানটি হয় সিই 1.9.1.0 এ আপডেট করা উচিত বা সরাসরি ম্যাজেন্টো থেকে এই প্যাচটির জন্য অনুরোধ করা উচিত।

ম্যাথিয়াস জেইস
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.