Π’ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ элСктронной ΠΊΠΎΠΌΠΌΠ΅Ρ€Ρ†ΠΈΠΈ Magento устранСно 75 уязвимостСй

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΉ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ элСктронной ΠΊΠΎΠΌΠΌΠ΅Ρ€Ρ†ΠΈΠΈ Magento, которая Π·Π°Π½ΠΈΠΌΠ°Π΅Ρ‚ ΠΎΠΊΠΎΠ»ΠΎ 20% Ρ€Ρ‹Π½ΠΊΠ° систСм для создания ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², выявлСны уязвимости, комбинация ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… позволяСт ΡΠΎΠ²Π΅Ρ€ΡˆΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ для выполнСния своСго ΠΊΠΎΠ΄Π° Π½Π° сСрвСрС, получСния ΠΏΠΎΠ»Π½ΠΎΠ³ΠΎ контроля Π½Π°Π΄ ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠΌ ΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ пСрСнаправлСния ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ΅ΠΉ. Уязвимости устранСны Π² выпусках Magento 2.3.2, 2.2.9 ΠΈ 2.1.18, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π² суммС устранСно 75 ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ, связанных с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ.

Одна ΠΈΠ· ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ позволяСт Π½Π΅Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌΡƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ размСщСния JavaScript-ΠΊΠΎΠ΄Π° (XSS), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ ΠΏΡ€ΠΈ просмотрС ΠΆΡƒΡ€Π½Π°Π»Π° ΠΎΡ‚ΠΌΠ΅Π½Ρ‘Π½Π½Ρ‹Ρ… ΠΏΠΎΠΊΡƒΠΏΠΎΠΊ Π² интСрфСйсС администратора. Π‘ΡƒΡ‚ΡŒ уязвимости Π² возмоТности ΠΎΠ±ΠΎΠΉΡ‚ΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΡŽ чистки тСкста ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ escapeHtmlWithLinks() ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ примСчания Π² Ρ„ΠΎΡ€ΠΌΠ΅ ΠΎΡ‚ΠΌΠ΅Π½Ρ‹ Π½Π° экранС Π½Π°Ρ‡Π°Π»Π° оформлСния ΠΏΠΎΠΊΡƒΠΏΠΊΠΈ (использованиС Π²Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ³ΠΎ Π² Π΄Ρ€ΡƒΠ³ΠΎΠΉ Ρ‚Π΅Π³ Ρ‚Π΅Π³Π° «a href=http://onmouseover=…»). ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся ΠΏΡ€ΠΈ использовании встроСнного модуля Authorize.Net, ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ осущСствляСтся ΠΏΡ€ΠΈΡ‘ΠΌ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ΅ΠΉ ΠΏΠΎ ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹ΠΌ ΠΊΠ°Ρ€Ρ‚Π°ΠΌ.

Для получСния ΠΏΠΎΠ»Π½ΠΎΠ³ΠΎ контроля ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ JavaScript-ΠΊΠΎΠ΄Π° Π² контСкстС Ρ‚Π΅ΠΊΡƒΡ‰Π΅Π³ΠΎ сСанса сотрудника ΠΌΠ°Π³Π°Π·ΠΈΠ½Π° эксплуатируСтся вторая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ phar-Ρ„Π°ΠΉΠ» ΠΏΠΎΠ΄ Π²ΠΈΠ΄ΠΎΠΌ ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΊΠΈ (ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π°Ρ‚Π°ΠΊΠΈ «Phar deserialization»). Phar-Ρ„Π°ΠΉΠ» ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ Ρ‡Π΅Ρ€Π΅Π· Ρ„ΠΎΡ€ΠΌΡƒ вставки ΠΊΠ°Ρ€Ρ‚ΠΈΠ½ΠΎΠΊ Π²ΠΎ встроСнном WYSIWYG-Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΎΡ€Π΅. Π”ΠΎΠ±ΠΈΠ²ΡˆΠΈΡΡŒ выполнСния своСго PHP-ΠΊΠΎΠ΄Π°, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ Π·Π°Ρ‚Π΅ΠΌ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ΡŒ Ρ€Π΅ΠΊΠ²ΠΈΠ·ΠΈΡ‚Ρ‹ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ΅ΠΉ ΠΈΠ»ΠΈ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚Π°Ρ… ΠΏΠΎΠΊΡƒΠΏΠ°Ρ‚Π΅Π»Π΅ΠΉ.

Π˜Π½Ρ‚Π΅Ρ€Π΅ΡΠ½ΠΎ, Ρ‡Ρ‚ΠΎ свСдСния ΠΎ XSS-ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π±Ρ‹Π»ΠΈ Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Ρ‹ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Magento Π΅Ρ‰Ρ‘ Π² сСнтябрС 2018 Π³ΠΎΠ΄Π°, послС Ρ‡Π΅Π³ΠΎ Π² ΠΊΠΎΠ½Ρ†Π΅ ноября Π±Ρ‹Π» Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½ ΠΏΠ°Ρ‚Ρ‡, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ, ΠΊΠ°ΠΊ оказалось, устраняСт лишь ΠΎΠ΄ΠΈΠ½ ΠΈΠ· частных случаСв ΠΈ Π»Π΅Π³ΠΊΠΎ обходится. Π’ январС Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±Ρ‹Π»ΠΎ сообщСно ΠΎ возмоТности Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Phar-Ρ„Π°ΠΉΠ»Π° ΠΏΠΎΠ΄ Π²ΠΈΠ΄ΠΎΠΌ изобраТСния ΠΈ ΠΏΠΎΠΊΠ°Π·Π°Π½ΠΎ, ΠΊΠ°ΠΊ сочСтаниС Π΄Π²ΡƒΡ… уязвимостСй ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ². Π’ ΠΊΠΎΠ½Ρ†Π΅ ΠΌΠ°Ρ€Ρ‚Π° Π² Magento 2.3.1,
2.2.8 ΠΈ 2.1.17 Π±Ρ‹Π»Π° устранСна ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° с Phar-Ρ„Π°ΠΉΠ»Π°ΠΌΠΈ, Π½ΠΎ Π·Π°Π±Ρ‹Ρ‚ΠΎ исправлСниС XSS, хотя Ρ‚ΠΈΠΊΠ΅Ρ‚ ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π±Ρ‹Π» Π·Π°ΠΊΡ€Ρ‹Ρ‚. Π’ Π°ΠΏΡ€Π΅Π»Π΅ Ρ€Π°Π·Π±ΠΎΡ€ XSS возобновился ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° устранСна Π² выпусках 2.3.2, 2.2.9 ΠΈ 2.1.18.

Π‘Π»Π΅Π΄ΡƒΠ΅Ρ‚ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π² ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Ρ… выпусках Ρ‚Π°ΠΊΠΆΠ΅ устранСно 75 уязвимостСй, для 16 ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ опасности ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½ ΠΊΠ°ΠΊ критичСский, Π° 20 ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΌΠΎΠ³ΡƒΡ‚ привСсти ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ PHP-ΠΊΠΎΠ΄Π° ΠΈΠ»ΠΈ подстановкС SQL-ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ. Π‘ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ критичСских ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Ρ‹ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ, Π½ΠΎ ΠΊΠ°ΠΊ ΠΏΠΎΠΊΠ°Π·Π°Π½ΠΎ Π²Ρ‹ΡˆΠ΅, выполнСния Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ Π½Π΅Ρ‚Ρ€ΡƒΠ΄Π½ΠΎ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ XSS-уязвимостСй, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π² ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹Ρ… выпусках устранСно нСсколько дСсятков.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru