В платформе электронной коммерции Magento устранено 75 уязвимостей

04.07.2019 10:24

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью.

Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране начала оформления покупки (использование вложенного в другой тег тега "a href=http://onmouseover=..."). Проблема проявляется при использовании встроенного модуля Authorize.Net, при помощи которого осуществляется приём платежей по кредитным картам.

Для получения полного контроля при помощи JavaScript-кода в контексте текущего сеанса сотрудника магазина эксплуатируется вторая уязвимость, позволяющая загрузить phar-файл под видом картинки (проведение атаки "Phar deserialization"). Phar-файл может быть загружен через форму вставки картинок во встроенном WYSIWYG-редакторе. Добившись выполнения своего PHP-кода, атакующий затем может изменить реквизиты платежей или организовать перехват информации о кредитных картах покупателей.

Интересно, что сведения о XSS-проблеме были направлены разработчикам Magento ещё в сентябре 2018 года, после чего в конце ноября был выпущен патч, который, как оказалось, устраняет лишь один из частных случаев и легко обходится. В январе дополнительно было сообщено о возможности загрузки Phar-файла под видом изображения и показано, как сочетание двух уязвимостей может использоваться для компрометации интернет-магазинов. В конце марта в Magento 2.3.1, 2.2.8 и 2.1.17 была устранена проблема с Phar-файлами, но забыто исправление XSS, хотя тикет о проблеме был закрыт. В апреле разбор XSS возобновился и проблема была устранена в выпусках 2.3.2, 2.2.9 и 2.1.18.

Следует отметить, что в указанных выпусках также устранено 75 уязвимостей, для 16 из которых уровень опасности отмечен как критический, а 20 проблем могут привести к выполнению PHP-кода или подстановке SQL-операций. Большинство критических проблем могут быть совершены только аутентифицированным пользователем, но как показано выше, выполнения аутентифицированных операций нетрудно добиться при помощи XSS-уязвимостей, которых в отмеченных выпусках устранено несколько десятков.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51027-magento

Ключевые слова: magento, phar, php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (38)

1.1, kiwinix (?), 11:14, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Нифига себе

2.23, Ordu (ok), 00:13, 05/07/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Я думаю, ты подобрал наилучшую формулировку. Просто нечего больше добавить.

1.2, Аноним (2), 11:26, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
И эти люди запрещают нам использовать слово "peшeтo"!

1.3, анан (?), 11:33, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> 20 проблем могут привести к выполнению PHP-кода php-шники не умеют писать код

2.7, Аноним (7), 11:58, 04/07/2019 [^] [^^] [^^^] [ответить]	–4 +/–
Гы, не умеют. Больше половины рунета крутится на 1С Bitrix, написанном, вообще-то, на php. Если это не успех, то я не представляю что же.

3.12, mickvav (?), 12:11, 04/07/2019 [^] [^^] [^^^] [ответить]	–2 +/–
Существует значимое количество php-ников, которые пишут небезопасный код. Какая часть из "большей половины рунета" уязвима к какому-нибудь варианту XSS - можете посмотреть в том же источнике, где и информацию о "большей половине" взяли?

4.29, пох. (?), 14:21, 05/07/2019 [^] [^^] [^^^] [ответить]

+/–

я вам страшную тайну открою, но в сам битрикс с лохматых времен встроен аналогичный фильтр, блокирующий (и фильтрующий на время вообще айпишники) попытки детишек подобрать xss или sql injection - до того как эти данные доберутся до чувствительных мест.

Кстати, не так уж плохо и работает, даром что да, на php.

3.13, iCat (ok), 12:16, 04/07/2019 [^] [^^] [^^^] [ответить]	+6 +/–
>...Больше половины рунета крутится на 1С Bitrix... "ниачом" Почти вся страна трахается с ОдинАсской. Это не делает её образцом качества.

4.17, пох. (?), 13:08, 04/07/2019 [^] [^^] [^^^] [ответить]

–1 +/–

блжад, ее делает образцом качества ее код!

просто оставлю это здесь: https://pastebin.com/zP30fHjy

97й год, пехепе 4.0, хотя, постойте...откуда там объектная модель с компонентами?

4.27, Аноним (27), 12:06, 05/07/2019 [^] [^^] [^^^] [ответить]	–1 +/–
И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность

5.28, пох. (?), 13:23, 05/07/2019 [^] [^^] [^^^] [ответить]

+/–

скорее на то что документация написана в основном по-русски, и на стековерфлоу хрен что найдешь, в отличие от яндекса, который иногда притаскивает ссылки на всякие полезные форумы угадай-на-каком йезыке.

Ну и насчет эрефии ты загнул, из десяти грошовых разработчиков-на-битриксе - девять будут с Украины, и еще один беларус.

а весь мир трахается с вротпрессом и , вот, магнетой. Не больно и жалко того мира.

5.30, iCat (ok), 15:56, 05/07/2019 [^] [^^] [^^^] [ответить]

+/–

> И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность

Украина, Казахстан, Белоруссия - это тоже "эрафия"?

6.34, Лох (?), 19:17, 05/07/2019 [^] [^^] [^^^] [ответить]	+/–
Да

7.36, пох. (?), 21:28, 05/07/2019 [^] [^^] [^^^] [ответить]

+1 +/–

> Да

вот и Фюрер тоже так думает.

8.40, iCat (ok), 04:17, 09/07/2019 [^] [^^] [^^^] [ответить]	+/–
Это ты так Бориса Георгиевича Нуралиева назвал ... текст свёрнут, показать

3.15, th3m3 (ok), 13:02, 04/07/2019 [^] [^^] [^^^] [ответить]	+6 +/–
Откуда данные? Давай статистику. Вангую, что там в лидерах будет далеко не Битрикс, а какой-нибудь Wordpress.

2.9, YetAnotherOnanym (ok), 12:02, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
Зато они умеют ставить минусы каментам на опеннете.

2.18, Аноним (18), 13:43, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
Уязвимости из-за десериализации phar это чистой воды проблма дизайна самого PHP, надо же было додуматься автоматом парсить и выполнять код из phar файлов при вызове file_exists(), fopen(), file_get_contents() и file().

2.19, Аноним (19), 14:30, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
>php-шники не умеют писать код Если JSники макаки, то эти павианы.

1.4, Аноним (4), 11:40, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
php? помню был такой язык, на наших просторах наверное еще жив.

2.10, freehck (ok), 12:03, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
Увы, не только на наших.

1.5, Аноним (5), 11:43, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Они там eval'ы фигачат что ли? Почему так много Remote Code Executuon SQL Injection? Они что там, про Prepared Statement не слышали?

2.21, конь в пальто (?), 21:53, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
это мажента. они там совсем долбанутые.

1.6, жека воробьев (?), 11:44, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
суровый мир php

1.8, YetAnotherOnanym (ok), 12:01, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Разработчик должен сосредоточиться на бизнес-логике! Разработчик должен сосредоточиться на бизнес-логике! Разработчик должен сосредоточиться на бизнес-логике!

2.11, freehck (ok), 12:05, 04/07/2019 [^] [^^] [^^^] [ответить]	+13 +/–
Разработчик должен делать не правильно, а быстро! Разработчик должен скопипастить десять раз один кусок кода! Разработчик должен придумать бизнес-логику сам по ходу выполнения задачи!

1.14, Приебалт (?), 12:43, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Magento - оно такое и есть, бессмысленное и беспощадное гуано. Потому и дырявое. Слишком овердофигаинженернутое. Слишком гибкое, чтобы было понятным и удобным. Только одну вещь выполняло и выполняет: стричь бабло с энтерпрайза. А, и время разрабов жрать. Там проблема не в php, а в головах, породивших это хтоническое чудовище.

2.16, th3m3 (ok), 13:04, 04/07/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ты сейчас описал все продукты на php.

3.20, Yahen (?), 15:23, 04/07/2019 [^] [^^] [^^^] [ответить]	+/–
В Magеnto все это в терминальной стадии.

3.22, конь в пальто (?), 21:55, 04/07/2019 [^] [^^] [^^^] [ответить]	+1 +/–
как раз нет. в пхп рулит и педалит Symfony, который прекрасен.

4.24, Аноним (24), 00:28, 05/07/2019 [^] [^^] [^^^] [ответить]	+1 +/–
ООП не нужен как и камостеры.

4.39, talisman (?), 04:25, 07/07/2019 [^] [^^] [^^^] [ответить]	+/–
Который, о ужас, является тупо копией спринга...

1.25, DIO (?), 09:04, 05/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
судя по всему , все "специалисты" хающие пхп пишут веб на суровом перле или гламурном эрланге. ребятки, подверните джинсики, допейте смузик и все по детсадовским группам рассказывать бизнесу как ему надо жить :)

2.26, пох. (?), 10:34, 05/07/2019 [^] [^^] [^^^] [ответить]	–1 +/–
дружище "специалист по пехепе", мы, понимаешь, совершенно незаинтересованы в том, чтобы бизнес - выжил. Это не наш бизнес.

3.31, Наноним (?), 18:29, 05/07/2019 [^] [^^] [^^^] [ответить]	+/–
Так-так, а где ваше резюме, говорите?..

4.32, Наноним (?), 18:30, 05/07/2019 [^] [^^] [^^^] [ответить]	+/–
(для занесения в блеклист, разумеется)

4.35, пох. (?), 20:08, 05/07/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> Так-так, а где ваше резюме, говорите?..

в нем все нормально - "мотивация", "вовлеченность", "ориентированность на командную работу". Из какого-то корпоративного кодекса, кстати, списывал ;-)

А чо, им можно врать, а мне нет?

А в той (единственной) компании где топ-менеджеры говорили "вы - исполнители, если что - просто найдете новую работу, да еще с хорошй строчкой в резюме. А нам - тонуть с этим кораблем!" - там резюме и не спрашивали.

5.37, Аноним (37), 03:53, 06/07/2019 [^] [^^] [^^^] [ответить]	+/–
> в нем все нормально - А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

6.38, пох. (?), 09:04, 06/07/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

как ни смешно (не)корпоративное болото образовалось как раз вот в той, единственной.
Просто потому что они там гуляли на свои, тоже принципиальные были. А это в какой-то момент приводит к стагнации, хоть ты что делай. И вот сидишь ты такой, уже лысый мальчик и седые волосы в бороде уже не удается прятать, в окружении старых компьютеров и древних систем (вот именно потому что деньги не с неба понападали и их стараешься экономить) - 20, 30 лет. Оно тебе хочется? Зато вот да - на пехепе там не кодили и даже аутсорсерам запрещали, рано как и прочих откровенно-гуано технологий избегали, где смогли.

А в громадных конторах, где hr'ы читают вот этот весь bullshit и не видят в такой писанине ничего странного - скучно точно не бывает. Каждый день какая-то новая пакость.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: