Patch de segurança SUPEE-10266 - Possíveis problemas?

Um novo patch de segurança está disponível para o Magento 1, abordando 13 questões do APPSEC

https://magento.com/security/patches/supee-10266

Quais problemas comuns você deve observar ao aplicar esse patch?

SUPEE-10266, Magento Commerce 1.14.3.6 e Open Source 1.9.3.6 contêm vários aprimoramentos de segurança que ajudam a fechar a falsificação de solicitação entre sites (CSRF), vazamento de dados não autorizado e vulnerabilidades de execução remota de código de usuário Admin autenticadas. Essas versões também incluem correções para problemas com recarga de imagens e pagamentos usando a verificação em uma etapa.

Algumas das informações importantes são compartilhadas aqui. A maioria dos arquivos do back-end do Magento. O arquivo lista:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

O importante é verificar esses três arquivos.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

app / code / core / Mage / Checkout / controllers / CartController.php, condição adicional, verifique a identificação do cliente :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

app / code / core / Mage / Sales / Model / Resource / Order / Item / Collection.php added Método adicional addFilterByCustomerId na coleção.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

se 'general / reprocess_images / active' false, pule o reprocessamento da imagem. NOTA: Se você desativar o reprocessamento de imagens, o processo de upload de imagens poderá causar riscos à segurança

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Espero que seja útil. eu acho que

EE 1.14.2.4

Erro de digitação na linha 726 do patch: autocomplete="new-pawwsord" (app/design/adminhtml/default/default/template/backup/dialogs.phtml )

O patch parece ter 2 arquivos de front-end:

Remendado:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Não corrigido:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml

Também não se esqueça de verificar se há substituições locais ... Eu tive que corrigir manualmente uma substituição de conjunto de códigos local de app\design\adminhtml\default\default\template\sales\order\view\info.phtml

Veja quasiobject 's resposta para uma questão de checkout onepage. Ticket de suporte corporativo criado, aguardando resposta do Magento. Se você não quiser esperar por um patch atualizado, uma possível correção é modificar app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmla declaração "else" para incluir o elemento form_key da seguinte maneira:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...

CE 1.9.2.4

Erro de digitação na linha 694 do patch: autocomplete="new-pawwsord" (app/design/adminhtml/default/default/template/backup/dialogs.phtml )

A extensão TrueOrderEdit precisa ser corrigida ... mude echo $_groupNamepara echo $this->escapeHtml($_groupName)nos seguintes arquivos:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml

Por fim, esse arquivo de modelo principal provavelmente também deve ser corrigido com a mesma atualização $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml

Todas as versões do 1.X

Se você excluiu a /downloaderpasta (ou/downloader/template ) da sua base de código, pode ser necessário editar manualmente o arquivo de patch .sh e remover a última seção, começando comdiff --git downloader/template/login.phtml downloader/template/login.phtml

Com relação ao erro Chave Secreta Inválida , veja minha resposta aqui: Magento 1.9 Chave Secreta Inválida. Atualize a página

Nós em MageHost.pro encontramos um problema no patch para Magento 1.9.1.1, arquivo de patchPATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Erro:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Corrigi-o substituindo as linhas 454-472 por 454-471 de PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Código antigo, linha 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Novo código, linhas 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Apenas 1 chave de formulário parece ter sido adicionada neste patch.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Portanto, se você tiver alguma dificuldade para excluir um widget do painel de administração, verifique se o URL de exclusão está sendo gerado pelo bloco e se não há substituições desse bloco.

Impossível fazer checkout no EE 1.11+

No app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlformulário, o código de validação da chave foi removido e ele quebra todo o checkout, mais informações aqui: https://magento.stackexchange.com/a/193442/2380

Solução alternativa por enquanto (como uma V2 para EE 1.11+ será lançada para solucionar esse problema): reverta o arquivo de modelo para ambos enterprise/defaulterwd/entreprise temas.

Diferenças entre patch e versão

EDIT: 1.9.3.6 foi lançado, portanto, esta informação não é mais relevante

Um dos principais problemas levantados no momento é que 1.9.3.5 está faltando 3 patches de segurança no patch. Portanto, eu recomendo fortemente apenas corrigir e não atualizar para 1.9.3.5 ainda

Ainda estamos tentando determinar se isso é exclusivo para nossa loja, devido a modelos personalizados. No entanto, está quebrado com o patch aplicado e não está quebrado quando revertemos. Eu queria postar caso outras pessoas possam denunciar o mesmo.

No EE 1.14.2.0, não podemos avançar além da etapa Informações de pagamento do checkout com o patch aplicado. Estamos atualizados com o SUPEE-9767 v2 antes de aplicar o novo patch.

Parece que nosso problema decorre da remoção || elements[i].name == 'form_key'de:

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

É removido do enablePaymentMethodsloop. Isso parece deixar a entrada form_key oculta do formulário desativada e, portanto, não passada para o controlador quando enviada.

<input name="form_key" type="hidden" value="X" disabled="">

Então, $this->_validateFormKey()falha e o controlador não retorna nada.

Atualização 1 (18/09/2017) : enviei um ticket para o suporte do Magento na sexta-feira e me disseram que "[ainda não havia sido relatado por nenhum comerciante". Em vez de enviar backups, tentei duplicar em uma instalação limpa de 1.14.2.4 e 1.14.3.4 com os patches aplicáveis. Consegui duplicar e respondi ao ticket. Aguardando uma nova resposta.

Nota: Sistema> Configuração> Admin> Segurança> Ativar validação de chave de formulário no checkout precisa ser "Sim". Se "Não", você não verá o problema.

Atualização 2 (18/09/2017) : Observe que não consigo duplicar o problema com a 1.14.3.6, mas quando verifiquei o arquivo de modelo acima, ele || elements[i].name == 'form_key'ainda está lá. Parece que os patches não deveriam ter sido removidos. Também enviou essas informações ao suporte do Magento.

Atualização 3 (20/09/2017): Acabei de receber um patch para corrigir o problema da 1.14.0.0–1.14.3.4, que restaura a form_keylinha do modelo. Peça suporte ao SUPEE-10348.

Quando você vai para o Magento Connect e depois quando você clica em "Voltar ao administrador" no canto superior direito da página. Ao retornar ao painel do administrador, você recebe uma mensagem de erro

mensagem de erro vermelha : "Chave secreta inválida. Atualize a página."

Depois de atualizar a página, ela se foi.

Atualizado: 15 de setembro de 2017

Se você fizer login no Magento admin, digamos Painel. Sem sair do painel do Dashboard, você abre outra janela do navegador no mesmo navegador e acessa example.com/admin, o login é automático e mostra exatamente a mesma mensagem

mensagem de erro vermelha : "Chave secreta inválida. Atualize a página."

Até agora, é o único problema que encontrei. Não tenho certeza se é um problema sólido, pois a mensagem desaparece após a atualização.

Perguntei ao Magento Support sobre o seguinte problema

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Eles me responderam esta manhã e lançaram um novo patch PATCH_SUPEE-10348 .

Magento acabou de resolver o problema fazendo uma reversão neste arquivo.

Índice: app / design / frontend / enterprise / padrão / modelo / giftcardaccount / onepage / payment / scripts.phtml
==================================================== =================
--- app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
+++ app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
@@ -35,6 +35,7 @@
             if (elementos [i] .name == 'pagamento [método]'
                 || elementos [i] .name == 'pagamento [use_customer_balance]'
                 || elementos [i] .name == 'pagamento [use_reward_points]'
+ || elementos [i] .name == 'form_key'
             ) {
                 methodName = elementos [i] .value;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

Encontrei um problema com modelos de email, CSS personalizado e modman. Se, por exemplo, você tem um tema baseado em rwd/default, tem um costume skin/frontend/package/theme/css/email-inline.csse seus arquivos de capa são incluídos via modman por meio de um link simbólico, o CSS não será adicionado ao modelo de correio após a aplicação do SUPEE-10266. A questão é que Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, em , algumas verificações foram introduzidas .:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Eu o resolvi com um truque sujo com uma app/code/local/Mage/Core/Model/Email/Template/Abstract.phpsubstituição por enquanto. Eu tive que enfraquecer a verificação, para que seja possível carregar o arquivo CSS do diretório modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Ele não verifica mais se o caminho inclui o diretório completo da aparência, mas apenas verifica se o caminho contém a cadeia /skine se não inclui .., o que deve impedir ataques de deslocamento do diretório.

Aqui está a lista completa dos patches afetados pelo autocomplete="new-pawwsord"erro de digitação:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

No Magento 1.8.1, tive problemas com os seguintes arquivos:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Acabei baixando a versão mais recente do Magento, que NÃO contém o patch. Neste caso, Magento 1.9.3.4 .

A substituição dos arquivos 'corrompidos' pelo do download corrigiu o problema. Consegui aplicar o patch com sucesso.

Mas tenha cuidado: sugiro reverter os 3 arquivos após aplicar o patch novamente e editar os arquivos manualmente.