The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В платформе электронной коммерции Magento устранено 75 уязвимостей

04.07.2019 10:24

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью.

Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране начала оформления покупки (использование вложенного в другой тег тега "a href=http://onmouseover=..."). Проблема проявляется при использовании встроенного модуля Authorize.Net, при помощи которого осуществляется приём платежей по кредитным картам.

Для получения полного контроля при помощи JavaScript-кода в контексте текущего сеанса сотрудника магазина эксплуатируется вторая уязвимость, позволяющая загрузить phar-файл под видом картинки (проведение атаки "Phar deserialization"). Phar-файл может быть загружен через форму вставки картинок во встроенном WYSIWYG-редакторе. Добившись выполнения своего PHP-кода, атакующий затем может изменить реквизиты платежей или организовать перехват информации о кредитных картах покупателей.

Интересно, что сведения о XSS-проблеме были направлены разработчикам Magento ещё в сентябре 2018 года, после чего в конце ноября был выпущен патч, который, как оказалось, устраняет лишь один из частных случаев и легко обходится. В январе дополнительно было сообщено о возможности загрузки Phar-файла под видом изображения и показано, как сочетание двух уязвимостей может использоваться для компрометации интернет-магазинов. В конце марта в Magento 2.3.1, 2.2.8 и 2.1.17 была устранена проблема с Phar-файлами, но забыто исправление XSS, хотя тикет о проблеме был закрыт. В апреле разбор XSS возобновился и проблема была устранена в выпусках 2.3.2, 2.2.9 и 2.1.18.

Следует отметить, что в указанных выпусках также устранено 75 уязвимостей, для 16 из которых уровень опасности отмечен как критический, а 20 проблем могут привести к выполнению PHP-кода или подстановке SQL-операций. Большинство критических проблем могут быть совершены только аутентифицированным пользователем, но как показано выше, выполнения аутентифицированных операций нетрудно добиться при помощи XSS-уязвимостей, которых в отмеченных выпусках устранено несколько десятков.

  1. Главная ссылка к новости (https://blog.ripstech.com/2019...)
  2. OpenNews: Опасные уязвимости в платформе электронной коммерции Magento
  3. OpenNews: Уязвимости в платформе электронной коммерции Magento
  4. OpenNews: Критическая уязвимость в платформе электронной коммерции Magento
  5. OpenNews: Половина протестированных интернет-магазинов на платформе Magento подвержены критической уязвимости
  6. OpenNews: eBay поглотил производителя открытой платформы Magento eCommerce
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: magento, phar, php
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, kiwinix (?), 11:14, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Нифига себе
     
     
  • 2.23, Ordu (ok), 00:13, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я думаю, ты подобрал наилучшую формулировку. Просто нечего больше добавить.
     

  • 1.2, Аноним (2), 11:26, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    И эти люди запрещают нам использовать слово "peшeтo"!
     
  • 1.3, анан (?), 11:33, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > 20 проблем могут привести к выполнению PHP-кода

    php-шники не умеют писать код

     
     
  • 2.7, Аноним (7), 11:58, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Гы, не умеют. Больше половины рунета крутится на 1С Bitrix, написанном, вообще-то, на php. Если это не успех, то я не представляю что же.
     
     
  • 3.12, mickvav (?), 12:11, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Существует значимое количество php-ников, которые пишут небезопасный код.
    Какая часть из "большей половины рунета" уязвима к какому-нибудь варианту XSS - можете посмотреть в том же источнике, где и информацию о "большей половине" взяли?
     
     
  • 4.29, пох. (?), 14:21, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я вам страшную тайну открою, но в сам битрикс с лохматых времен встроен аналогичный фильтр, блокирующий (и фильтрующий на время вообще айпишники) попытки детишек подобрать xss или sql injection - до того как эти данные доберутся до чувствительных мест.

    Кстати, не так уж плохо и работает, даром что да, на php.

     
  • 3.13, iCat (ok), 12:16, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >...Больше половины рунета крутится на 1С Bitrix...

    "ниачом" Почти вся страна трахается с ОдинАсской. Это не делает её образцом качества.

     
     
  • 4.17, пох. (?), 13:08, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    блжад, ее делает образцом качества ее код!

    просто оставлю это здесь: https://pastebin.com/zP30fHjy

    97й год, пехепе 4.0, хотя, постойте...откуда там объектная модель с компонентами?

     
  • 4.27, Аноним (27), 12:06, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность
     
     
  • 5.28, пох. (?), 13:23, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    скорее на то что документация написана в основном по-русски, и на стековерфлоу хрен что найдешь, в отличие от яндекса, который иногда притаскивает ссылки на всякие полезные форумы угадай-на-каком йезыке.

    Ну и насчет эрефии ты загнул, из десяти грошовых разработчиков-на-битриксе - девять будут с Украины, и еще один беларус.

    а весь мир трахается с вротпрессом и , вот, магнетой. Не больно и жалко того мира.

     
  • 5.30, iCat (ok), 15:56, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность

    Украина, Казахстан, Белоруссия - это тоже "эрафия"?

     
     
  • 6.34, Лох (?), 19:17, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да
     
     
  • 7.36, пох. (?), 21:28, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да

    вот и Фюрер тоже так думает.

     
     
  • 8.40, iCat (ok), 04:17, 09/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты так Бориса Георгиевича Нуралиева назвал ... текст свёрнут, показать
     
  • 3.15, th3m3 (ok), 13:02, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Откуда данные? Давай статистику. Вангую, что там в лидерах будет далеко не Битрикс, а какой-нибудь Wordpress.
     
  • 2.9, YetAnotherOnanym (ok), 12:02, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато они умеют ставить минусы каментам на опеннете.
     
  • 2.18, Аноним (18), 13:43, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимости из-за десериализации phar это чистой воды проблма дизайна самого PHP, надо же было додуматься автоматом парсить и выполнять код из phar файлов при вызове file_exists(), fopen(), file_get_contents() и file().
     
  • 2.19, Аноним (19), 14:30, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >php-шники не умеют писать код

    Если JSники макаки, то эти павианы.

     

  • 1.4, Аноним (4), 11:40, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    php? помню был такой язык, на наших просторах наверное еще жив.
     
     
  • 2.10, freehck (ok), 12:03, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, не только на наших.
     

  • 1.5, Аноним (5), 11:43, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Они там eval'ы фигачат что ли? Почему так много Remote Code Executuon

    SQL Injection? Они что там, про Prepared Statement не слышали?

     
     
  • 2.21, конь в пальто (?), 21:53, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это мажента. они там совсем долбанутые.
     

  • 1.6, жека воробьев (?), 11:44, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    суровый мир php
     
  • 1.8, YetAnotherOnanym (ok), 12:01, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Разработчик должен сосредоточиться на бизнес-логике!
    Разработчик должен сосредоточиться на бизнес-логике!
    Разработчик должен сосредоточиться на бизнес-логике!
     
     
  • 2.11, freehck (ok), 12:05, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Разработчик должен делать не правильно, а быстро!
    Разработчик должен скопипастить десять раз один кусок кода!
    Разработчик должен придумать бизнес-логику сам по ходу выполнения задачи!
     

  • 1.14, Приебалт (?), 12:43, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Magento - оно такое и есть, бессмысленное и беспощадное гуано. Потому и дырявое. Слишком овердофигаинженернутое. Слишком гибкое, чтобы было понятным и удобным. Только одну вещь выполняло и выполняет: стричь бабло с энтерпрайза. А, и время разрабов жрать. Там проблема не в php, а в головах, породивших это хтоническое чудовище.
     
     
  • 2.16, th3m3 (ok), 13:04, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты сейчас описал все продукты на php.
     
     
  • 3.20, Yahen (?), 15:23, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В Magеnto все это в терминальной стадии.
     
  • 3.22, конь в пальто (?), 21:55, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как раз нет. в пхп рулит и педалит Symfony, который прекрасен.
     
     
  • 4.24, Аноним (24), 00:28, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ООП не нужен как и камостеры.
     
  • 4.39, talisman (?), 04:25, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Который, о ужас, является тупо копией спринга...
     

  • 1.25, DIO (?), 09:04, 05/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    судя по всему , все "специалисты" хающие пхп пишут веб на суровом перле или гламурном эрланге.
    ребятки, подверните джинсики, допейте смузик и все по детсадовским группам рассказывать бизнесу как ему надо жить :)
     
     
  • 2.26, пох. (?), 10:34, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дружище "специалист по пехепе", мы, понимаешь, совершенно незаинтересованы в том, чтобы бизнес - выжил. Это не наш бизнес.

     
     
  • 3.31, Наноним (?), 18:29, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так-так, а где ваше резюме, говорите?..
     
     
  • 4.32, Наноним (?), 18:30, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    (для занесения в блеклист, разумеется)
     
  • 4.35, пох. (?), 20:08, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так-так, а где ваше резюме, говорите?..

    в нем все нормально - "мотивация", "вовлеченность", "ориентированность на командную работу". Из какого-то корпоративного кодекса, кстати, списывал ;-)

    А чо, им можно врать, а мне нет?

    А в той (единственной) компании где топ-менеджеры говорили "вы - исполнители, если что - просто найдете новую работу, да еще с хорошй строчкой в резюме. А нам - тонуть с этим кораблем!" - там резюме и не спрашивали.

     
     
  • 5.37, Аноним (37), 03:53, 06/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > в нем все нормально -

    А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

     
     
  • 6.38, пох. (?), 09:04, 06/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

    как ни смешно (не)корпоративное болото образовалось как раз вот в той, единственной.
    Просто потому что они там гуляли на свои, тоже принципиальные были. А это в какой-то момент приводит к стагнации, хоть ты что делай. И вот сидишь ты такой, уже лысый мальчик и седые волосы в бороде уже не удается прятать, в окружении старых компьютеров и древних систем (вот именно потому что деньги не с неба понападали и их стараешься экономить) - 20, 30 лет. Оно тебе хочется? Зато вот да - на пехепе там не кодили и даже аутсорсерам запрещали, рано как и прочих откровенно-гуано технологий избегали, где смогли.

    А в громадных конторах, где hr'ы читают вот этот весь bullshit и не видят в такой писанине ничего странного - скучно точно не бывает. Каждый день какая-то новая пакость.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру