Vulnerabilidad de Magento swf XSS: ¿cómo solucionarlo?

12

De acuerdo con la vulnerabilidad SWF / Flash enumerada en: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/

que verifiqué aún existe en Magento 1.9.1.0, ¿cuál es el mejor método para abordar esto? ¿Algún problema con el bloqueo o la restricción del acceso a estos archivos swf?

Rob Mangiafico
fuente
2
Según Piotr Kaminski, se parchó en 1.9.1.0. twitter.com/molotovbliss/status/537257580322488320
B00MER
ok, creo que veo por qué pensé que 1.9.1.0 todavía era vulnerable. Lo probé en algunas tiendas Magento que se actualizaron desde 1.9.0.1 y el archivo editor.swf (que no se usa en 1.9.1.0) todavía estaba allí desde las versiones anteriores, por lo que aún mostraba la alerta. appcheck enumera uploader.swf y uploaderSingle.swf como vulnerables, pero no puedo obtener la alerta para que aparezca en ninguna versión que use estos archivos. Veo que 1.9.1.0 actualizó los archivos swf del cargador, por lo que parece que están parcheados. Para las versiones anteriores 1.9.0.1 y anteriores, ¿existe un parche / solución alternativa que pueda usarse para mitigar el riesgo además de la actualización?
Rob Mangiafico el
Puede intentar reemplazar los dos archivos .swf y ver si no interrumpe ninguna funcionalidad, si lo hace, puede haber código para parchear. Desafortunadamente, no parece que Magento tenga un parche oficial para versiones anteriores.
B00MER

Respuestas:

10

Probablemente esta no sea una respuesta de Stack Exchange 100% válida, ya que no puedo proporcionar la solución completa, pero creo que es mejor publicar esto que nada.

Hay un parche de Enterprise Support que resuelve el problema. No se me permite publicar el parche, pero si usted es un cliente empresarial, puede solicitar el parche, ya que también es compatible con algunas versiones de CE.

Aquí hay información que espero poder compartir sin meterme en problemas:

El parche elimina dos archivos SWF y modifica los SWF del cargador.

Me dijeron que el parche proporcionado es compatible con estas versiones CE:

  • 1.4. *, 1.5.0.1, 1.6.0.0, 1.6.1.0, 1.7.0.0, 1.7.0.2, 1.8.0.0

Además, es compatible con todas las versiones EE <1.14.0.0, así que supongo que el parche está incluido en EE 1.14. Tendría sentido que también esté incluido en CE 1.9 entonces.

[Actualización] El soporte me informó que el parche se ha incorporado a CE 1.9.1. Por lo tanto, la solución debería ser actualizar a CE 1.9.1.0 o solicitar este parche directamente a Magento.

Matthias Zeis
fuente