CSRF攻撃とセッションハイジャックの脆弱性

magento.stackexchange https://magento.stackexchange.com/questions/3325

質問

1.8CEアルファリリースメモから:

MagentoのWebストアには、追加のクロスサイトリクエストForgery(CSRF)保護があります。つまり、詐欺師は、新しく登録された顧客になりすまし、顧客に代わってアクションを実行することができなくなりました。

と:

以前のバージョンでは、Magentoは登録プロセス中のセッション固定攻撃に対して脆弱でした。アカウントにログインした後、登録されたユーザーのセッションIDは変更されませんでした。したがって、攻撃者が不正なセッションIDの知識を持っていて、そのユーザーが正常に登録された場合、攻撃者は新しく登録されたアカウントを引き継ぐことができました。現在、セッションIDは登録が成功した後に変更され、アカウントの不正使用が不可能になります。

これがリリースノートにあり、これに対処する前のバージョンにポイントリリースが表示されない場合(私は間違った場所を探していますか?) - それはそれを意味しますか? 現在の1.8の前の店舗は、これらの攻撃ベクトルに対して潜在的に開いています?

ソース: http://www.magentocommerce.com/knowledge-base/entry/ce-18-later-release-notes

役に立ちましたか?

解決

要するに、はい。 CE 1.7は、パッチを含むセキュリティリリースが発行されていないため、これらの特定の攻撃に対して依然として脆弱です。

後者の場合、セッション固定攻撃である場合、この変更は、Magentoが現在のセキュリティベストプラクティスに沿って既に使用していたセキュリティプラクティスのアップグレードです。 CSRFの修正でパッチを発行した場合、CE 1.7に発行される可能性が高いものではありません。

本当の問題は、これらのCSRFの脆弱性が修正されたのは正確には何ですか?間違いなく、リリースノートに詳細が含まれていないため、すべての以前のリリースをさらに危険にさらすことは良いことですが、古い実装にパッチを当てるために知っておくといいでしょう。

更新#1:Magentoに手を差し伸べて、彼らが上記の脆弱性のためにパッチを発行する時期を調べると、次の返信を受け取りました。

これをさらに調査するための時間を少し許してください。バグとしてではなく、製品の強化としてシステムにリストされているため、これらの2つのアイテムが利用できるパッチがあるかどうかはわかりません。詳細情報を入手したら更新します。

私はそれらを手に入れたときにここにさらに詳細を投稿し、現在存在しているパッチがないように見えるので、パッチを発行するために最善を尽くします。

更新#2: サポートチームを行き来した後、Magento EE 1.12.0.2の適切なパッチを入手することができました。 Magento CE 1.7.0.2のパッチは発行されていません。私のために内部的に検討した技術者に関しては、CE 1.7.xの公式パッチをリリースする計画はありません。安定したリリース。

EE固有のパッチファイルについては、Magentoと私自身、そして私が働いている会社との間でNDAに違反することは間違いないので、ここに直接投稿することはできません。関連するパッチの名前は次のとおりです。 "patch_supee-1513_ee_1.12.0.2_v1.sh" - エンタープライズエディションまたはクライアントがそれを使用している場合は、Magentoサポートチームからこのパッチをリクエストし、メモとともにこのパッチをリクエストできるはずです修正することになっているCSRFの脆弱性。

CE 1.7.0.2ユーザーの場合、Magento CE 1.7.0.2コアコードファイルを変更するコードの塊のみを含むパッチファイル(Magentoが提供するパッチに基づいて)を生成する自由を取りました。通常の方法では、関連するコードの変更とともに、追加されたコメントと調整されたフォーマットの無関係な部分が含まれています。これを作成するには、元のパッチを手動で変更して、提供されたパッチ適用ツールを使用して適用し、GITを使用して適用された変更に基づいてパッチを生成する必要があります。

私が作成したパッチファイルは、この要素からダウンロードできます。 https://gist.github.com/davidalger/5938568

パッチを適用するには、最初のCDをMagentoインストールのルートに入れて、次のコマンドを実行します。 patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff

EE固有のパッチには、エンタープライズ固有のコントローラーへのフォームキー検証チェック、エンタープライズ/デフォルトおよびエンタープライズ/iPhoneテンプレートファイルへの変更が含まれています。キャッシュされたページでフォームキーを前後に渡します。

免責事項: Magentoが提供するEEパッチも、リンクされた要点にアップロードしたパッチもテストしていません。参照されているGISTで提供されるパッチは保証なしで提供され、CE 1.8リリースノートで参照されている脆弱性を完全に解決する場合と完全に解決できない場合があります。テストされていないパッチとして、それが全体または部分で機能するという保証もありません。つまり、あなた自身の責任で使用し、生産環境に展開する前にデューデリジェンスをテストしてください。パッチの問題が見つかった場合は、お知らせください。更新します。

他のヒント

問題を再現できなかったので、私は100%確信がありませんが

詐欺師を意味します もうできません 新しく登録された顧客になりすまします

これまで、「詐欺師」が新しく登録された顧客になりすますことができることを意味します。
それが単なる「セマンティクス」であることを願っていますが、それがあなたがそれが意味することを恐れていることを意味すると思います。

ライセンス: CC-BY-SA帰属
所属していません magento.stackexchange
scroll top