সুরক্ষা প্যাচ SUPEE-6788 দ্বারা কোন মডিউলগুলি প্রভাবিত হয়েছে তা কীভাবে পরীক্ষা করবেন

২ October শে অক্টোবর, ২০১৫, ম্যাজেন্টো সুরক্ষা প্যাচ SUPEE-6788 প্রকাশ করেছে। প্রযুক্তিগত বিবরণ অনুসারে , 4 টি APPSEC এর স্থির করা হয়েছে তাদের স্থানীয় এবং সম্প্রদায় মডিউলগুলিতে কিছুটা পুনরায় কাজ করা দরকার:

• APPSEC-1034, কাস্টম অ্যাডমিন URL টি বাইপাস করে সম্বোধন করা (ডিফল্টরূপে অক্ষম)
• APPSEC-1063, সম্ভাব্য এসকিউএল ইঞ্জেকশন সম্বোধন করছে
• APPSEC-1057, টেমপ্লেট প্রক্রিয়াকরণ পদ্ধতিটি ব্যক্তিগত তথ্যে অ্যাক্সেসের অনুমতি দেয়
• APPSEC-1079, কাস্টম অপশন ফাইল প্রকারের সাথে সম্ভাব্য শোষণকে সম্বোধন করছে

আমি ভাবছিলাম যে কী সুরক্ষা প্যাচ দ্বারা কোন মডিউলগুলি প্রভাবিত হয়েছে তা যাচাই করবেন।

আমি নিম্নলিখিত আংশিক সমাধান নিয়ে এসেছি:

• APPSEC-1034: <use>admin</use>সমস্ত স্থানীয় এবং সম্প্রদায় মডিউলগুলির config.xML অনুসন্ধান করুন । আমি মনে করি এটি এই সমস্যা দ্বারা প্রভাবিত সমস্ত মডিউল তালিকাভুক্ত করা উচিত।
• APPSEC-1063: স্থানীয় এবং সম্প্রদায় মডিউলগুলির সমস্ত পিএইচপি ফাইলগুলির জন্য addFieldToFilter('(এবং অনুসন্ধান করুন addFieldToFilter('`। এটি অসম্পূর্ণ, কারণ ভেরিয়েবলগুলিও ব্যবহার করা যেতে পারে।
• APPSEC-1057: স্থানীয় এবং সম্প্রদায় মডিউলগুলির সমস্ত পিএইচপি ফাইলগুলির জন্য {{config path=এবং অনুসন্ধান করুন এবং {{block type=শ্বেত তালিকা থেকে সমস্ত উপাদান ফিল্টার আউট করুন। এটি অসম্পূর্ণ, কারণ এতে অ্যাডমিনদের দ্বারা যুক্ত কোনও টেম্পলেট ভেরিয়েবল নেই।
• APPSEC-1079: ধারণা নেই।

পিটার জাপ ব্লাকমিয়ার দ্বারা সংকলিত অ্যাপসইএসসি -1034 এবং অ্যাপ্লিকেশন -1063 এর জন্য সংবেদনশীল এমন এক্সটেনশনের একটি তালিকা রয়েছে

SUPEE-6788 প্রকাশিত হয়েছে এবং অ্যাডমিন রাউটিং পরিবর্তনগুলি ডিফল্টরূপে বন্ধ হয়ে যায়। এর অর্থ হ'ল প্যাচটিতে ফিক্স অন্তর্ভুক্ত রয়েছে তবে এটি ইনস্টল করা অবস্থায় অক্ষম হবে। এটি আপনাকে আপনার কোডে আপডেট করার জন্য কিছু অতিরিক্ত সময় দেবে এবং মার্চেন্টদের প্যাচটির এই অংশটি চালু করার জন্য তাদের এক্সটেনশানগুলি এবং কাস্টমাইজেশনগুলি এর সাথে কাজ করার জন্য আপডেট হয়ে গেলে নমনীয়তা দেয়।

পাথ ইনস্টলের পরে এক্সটেনশনের জন্য অ্যাডমিন রাউটিং সক্ষমতা সক্ষম করার জন্য অ্যাডমিন -> উন্নত -> প্রশাসন -> সুরক্ষা যান।

ম্যাজেন্টো সিই 1.4-1.6 প্যাচগুলি বিলম্বিত হয় এবং এটি প্রায় এক সপ্তাহের মধ্যে পাওয়া উচিত!

SUPEE-6788 সংস্থানসমূহের তালিকা

• অফিসিয়াল বিবরণ এবং এসইপিইই -6788 ডাউনলোড করুন - http://magento.com/security/patches/supee-6788 এবং https://www.magentocommerce.com/download

• দরকারী টিপস সহ কীভাবে SUPEE-6788 আলোচনা প্রয়োগ করবেন - https://magento.meta.stackexchange.com/a/734/2282

• এসএসএইচ ছাড়াই SUPEE-6788 ইনস্টল করুন - https://magentary.com/kb/install-supee-6788-without-ssh/

• গিটিহাব-এ সিই 1.7.0.1.1 - 1.9.2.1 এর জন্য SUPEE-6788 - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/CE

• EE 1.12.x এর জন্য SUPEE-6788 - গিটহাব-এ 1.14.x - https://github.com/brentwpeterson/magento-patches/tree/master/current-patches/EE

• SUPEE-6788 এবং পশ্চাদপদ সামঞ্জস্যতা - https://info2.magento.com/rs/318-XBX-392/images/SUPEE-6788- টেকনিক্যাল ১০০ ডিটেলস.পিডিএফ

• সম্প্রদায় চালিত এক্সটেনশনের তালিকামুলি তালিকা যা SUPEE-6788 / Magento 1.9.2.2 / EE 1.14.2.2 - https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/html ?? gid = 0

• সহায়ক ম্যাগারুন https://github.com/peterjaap/magerun-addons কমান্ড

  • n98-magerun dev: টেমপ্লেট-বর্ণ - SUPEE-6788 এবং Magento 1.9.2.2 এর সাথে সামঞ্জস্যপূর্ণ হওয়ার জন্য নন-হোয়াইটলিস্টযুক্ত ভার্স / ব্লকগুলি সন্ধান করুন
  • n98-magerun.phar dev: ওল্ড-অ্যাডমিন-রাউটিং - পুরাতন স্টাইলের অ্যাডমিন রাউটিং ব্যবহার করে এমন এক্সটেনশানগুলি সন্ধান করুন (যা এসইপিইই -6788 এবং ম্যাজেন্টো 1.9.2.2 এর সাথে সামঞ্জস্যপূর্ণ নয়)

• স্টোর প্যাচড / আক্রান্ত কিনা তা পরীক্ষা করুন - https://www.magereport.com/

• প্রথম পৃষ্ঠার কিছু কাস্টম ব্লক প্যাচ ইনস্টলের পরে অদৃশ্য হয়ে গেছে - অ্যাপ্লিকেশন-সিএসএইচ-1057 কীভাবে সাদা তালিকা টেবিলগুলিতে ভেরিয়েবল বা ব্লক যুক্ত করতে হবে & https://www.pinPointdesigns.co.uk/blog/magento-ce-patch-supee -6788-অর্ডারি ব্লক-টি সংস্করণ /

• ম্যাজেন্টো SUPEE-6788 বিকাশকারী সরঞ্জাম বাক্স - প্যাচ https://github.com/rhoerr/supee-6788-toolbox থেকে বড় সমস্যাগুলি স্বয়ংক্রিয়ভাবে সন্ধান করুন এবং সমাধান করুন

• ম্যাজডাউনলোড সিএলআই - ম্যাজেন্টো রিলিজ এবং প্যাচ ডাউনলোডগুলি স্বয়ংক্রিয় করার জন্য একটি পিএইচপি সরঞ্জাম - https://github.com/steverobbins/magedownload-cli

• কীভাবে SUPEE-6788 - এর জন্য টেম্পলেট ভেরিয়েবল এবং ব্লককে সাদা তালিকাভুক্ত করা যায় - https://gist.github.com/avoelkl/f99e95c8caad700aee9

• প্রভাবিত কোডের জন্য পরিচিত ম্যাজেন্টো ফাইলগুলি পরীক্ষা করুন - https://github.com/Schrank/magento-appsec-file-check

• SUPEE 6788 ম্যাজেন্টো প্যাচ ইনস্টলেশন সহ সাধারণ সমস্যা - http://www.atwix.com/magento/security-patch-supee-6788-installation-issues/

• ম্যাজেন্টো প্যাচ SUPEE-6788 এর জন্য পারফরম্যান্স উন্নতি - https://github.com/EcomDev/SUPEE6788- পারফরম্যান্স ফিক্স , https://gist.github.com/DimaSoroka/a3e567dd393dddaaacce , বিবরণ - http://www.magecore.com/blog / খবর / কর্মসম্পাদনভিত্তিক বিষয়-Magento সুরক্ষার প্যাচ-supee-6788

দ্বন্দ্ব শনাক্ত করার বিষয়ে অন্যান্য মন্তব্যের পংক্তির পাশাপাশি আমরা প্যারাডক্সল্যাবগুলিতে অ্যাপ্লিকেশন -1034 (অ্যাডমিন কন্ট্রোলার) এবং অ্যাপসইসিসি-1057 (শ্বেত তালিকাভুক্ত) দ্বারা আক্রান্ত সমস্ত কিছু সনাক্ত করার জন্য একটি স্ক্রিপ্ট তৈরি করেছি। এটি যে কোনও খারাপ নিয়ন্ত্রকদেরও ঠিক করার চেষ্টা করবে, যেহেতু এটি করা মোটামুটি সুনির্দিষ্ট এবং আক্রমণাত্মক পরিবর্তন।

এটি APPSEC-1063 (এসকিউএল ইনজেকশন) বা APPSEC-1079 (কাস্টম বিকল্পগুলি) কভার করে না, তবে এটি যদি দুর্দান্ত হয় তবে তা দুর্দান্ত। কোনও ধরণের নির্ভুলতার সাথে তাদের কীভাবে সনাক্ত করা যায় তা নিশ্চিত নয়। আমরা অবদানের জন্য উন্মুক্ত।

https://github.com/rhoerr/supee-6788-toolbox

এই পিএইচপি স্ক্রিপ্ট প্রস্তাবিত SUPEE-6788 প্যাচ দ্বারা প্রভাবিত Magento কোড সনাক্ত করতে কার্যকর হতে পারে ।

এটি কোনওভাবেই এই প্যাচটির জন্য একটি নির্বোধ সুরক্ষা চেক নয়, তবে মডিউল এবং কোড প্রভাবিত হয়ে আপনার ইনস্টলেশনটি দ্রুত স্ক্যান করতে কার্যকর হতে পারে।

এর সাথে স্ক্রিপ্টটি ইনস্টল করুন

wget https://raw.githubusercontent.com/gaiterjones/magento-appsec-file-check/master/magento_appsec_file_check.php

আপনার Magento ইনস্টলেশনের পথে সম্পাদনা করুন

$_magentoPath='/home/www/magento/';

চালান

php magento_appsec_file_check.php

আক্রান্ত ফাইলগুলি প্রদর্শিত হবে:

*** Magento security file check ***
[1] APPSEC-1034, addressing bypassing custom admin URL
2 effected files :
<use>admin</use> found in  app/code/community/Itabs/Debit/etc/config.xml
<use>admin</use> found in  app/code/core/Mage/Adminhtml/etc/config.xml


[2] APPSEC-1063, addressing possible SQL injection
2 effected files :
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/Model/Export/Abstract.php
collection->addFieldToFilter(' found in  app/code/community/Itabs/Debit/controllers/Adminhtml/OrderController.php
collection->addFieldToFilter(' not found.
collection->addFieldToFilter('\` not found.
collection->addFieldToFilter('\` not found.


[3] APPSEC-1057, template processing method allows access to private information
{{config path= not found.
{{block type= not found.


***********************************

কোডটির উপস্থিতিগুলির জন্য স্ক্রিপ্টটি ম্যাজেন্টো ফাইলগুলি অনুসন্ধান করতে গ্রেপ ব্যবহার করে যা এসইপিইই -6788 প্রয়োগ করা হলে কাস্টমাইজেশন বা এক্সটেনশনের সাথে পশ্চাদপটে সামঞ্জস্যতা সম্ভবত ভেঙে দিতে পারে।

সমস্ত এক্সটেনশানগুলির সাথে ইতিমধ্যে একটি বড় তালিকা রয়েছে যা এসইপিইই -6788 এর সাথে ভেঙে যাবে

এখানে আরও তথ্য: https://docs.google.com/spreadsheets/d/1LHJL6D6xm3vD349DJsDF88FBI_6PZvx_u3FioC_1-rg/edit#gid=0

কনটেন্ট ফিল্টারের মাধ্যমে প্রক্রিয়া করা যেতে পারে অনুমোদিত ভেরিয়েবলের তালিকা পিডিএফ-এ দেখানোর চেয়ে বড়:

+ trans_email/ident_support/name
+ trans_email/ident_support/email
web/unsecure/base_url
web/secure/base_url
trans_email/ident_general/name
+ trans_email/ident_general/email
trans_email/ident_sales/name
trans_email/ident_sales/email
trans_email/ident_custom1/name
trans_email/ident_custom1/email
trans_email/ident_custom2/name
trans_email/ident_custom2/email
general/store_information/name
general/store_information/phone
general/store_information/address

(আমি +ভেরিয়েবলগুলির আগে একটি যুক্ত করেছি যা পিডিএফটিতে বর্ণিত হয়নি)

সামগ্রী ফিল্টারের মাধ্যমে প্রক্রিয়া করা যেতে পারে এমন অনুমোদিত ব্লকগুলি হ'ল:

core/template
catalog/product_new