Magento 安全更新 SUPEE-10266

Magento 為開放原始碼的軟體，因此每當新的安全漏洞或bug檢測出時Magento總部會於24小時內釋出新封包提供給全球用戶，保障用戶們的安全防護。以下為Magento總部針對安全漏洞的部分所提供的更新，歐斯瑞提醒大家請盡快升級您的Magento版本唷！

Magento 安全更新 SUPEE-10266

文章來源: MAGENTO 安全團隊 標籤:MAGENTO 商業  開源版 ;由歐斯瑞編譯

SUPEE-10266, Magento 商業版 1.14.3.6 與開源版 1.9.3.6 包含多個增強安全功能來幫助關閉跨站請求偽造 (CSRF)、未經授權的數據外流、和已認證的用戶者遠端編碼執行時的漏洞。此版本也修復了圖片重新加載問題以及一頁式結帳頁面付款問題。

有關 1.14.3.6 and 1.9.3.6 版本更新的相關訊息請參見 Magento 商業版 和 Magento 開源版 內的發表說明。

修補及升級可用於以下Magento版本：

• Magento 商業 1.9.0.0-1.14.3.4: SUPEE-10266 或升級至 Magento 商業 1.14.3.6
• Magento 開源碼 1.5.0.0-1.9.3.4: SUPEE-10266 或升級至 Magento 開源碼 1.9.3.6

備註：Magento 商業 (企業版) 的SUPEE-10266包含有關於結帳時訂單金額為零的功能問題 MPERF-9685 的修復。此修復並不包含在 1.14.3.6 版本中。然而，在某些情況下SUPEE-10266可能會導致結帳過程中的問題。具體而言，當一位顧客在結帳時啟用了添加禮物選項，結帳過程將無法執行付款後的步驟。Magento 為此發佈了新修復程式 SUPEE-10384，並且須將此修復程式安裝在SUPEE-10266之上。

要下載修復程式或發佈版本，請於下列選項中進行選擇：

合作夥伴：

Magento 商業1.14.3.6	合作夥伴管道 > Magento 商業 > Magento 商業 1.X > Magento 商業 1.x > 版本 1.x 發佈 > 版本 1.14.3.6
SUPEE-10266	合作夥伴管道 > Magento 商業 > Magento 商業 1.X > Magento 商業 1.x > 支持與安全修復 > 安全修復 > 安全修復 – 九月 2017 年

 

 

Magento 商業商家：

Magento 商業 1.14.3.6	我的帳戶 > 下載選項 > Magento 商業 1.X > Magento 商業 1.x > 版本 1.x 發佈 > 版本 1.14.3.6
SUPEE-10266	我的帳戶 > 下載選項 > Magento 商業 1.X > Magento 商業 1.x > 支持與安全修復 > 安全修復 > 安全修復 – 九月 2017年

 

 

Magento 開源碼商家：

Magento 開源碼 1.9.3.6	Magento 開源碼下載頁 > 發布存檔選項
SUPEE-10266	Magento 開源碼下載頁 > 發布存檔選項 > Magento 開源碼修復 – 1.x 部分

 

 

APPSEC-1838: RSS 會期管理暫存可用於獲取Magento管理員的權限。
種類：	特權升級
CVSSv3 嚴重性:	8.2 (高)
已知的攻擊：	無
敘述:	攻擊者可使用低權限的RSS會期暫存來升級權限並獲得進入Magento管理員管道的權限
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，與 Magento 商業版1.14.3.6 前的版本
修復於：	Magento 開源版 1.9.3.6， Magento 商業版 1.14.3.6， SUPEE-10266
反應者：	gwillem

 

 

APPSEC-1800: CMS和版面中的遠程執行代碼漏洞
種類：	遠程代碼執行 (RCE)
CVSSv3 嚴重度：	8.2 (高)
已知的攻擊：	無
敘述:	具有有限的Magento管理員可在創建新CMS頁面時引入惡意代碼，這可能導致任意的執行遠程代碼。
受影響的產品：	Magento 開源版 1.9.3.6 前的版本與 Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266，Magento 2.0.16，Magento 2.1.9
反應者：	dhln

 

 

APPSEC-1835: 從 app/etc/local.xml 暴露Magento秘鑰
種類：	信息洩漏 (系統)
CVSSv3 嚴重性：	8.2 (高)
已知的攻擊：	無
敘述：	具有有限權限的管理員可創建引用和公開敏感的Magento安裝信息的內容，且這些敏感信息可能被進一步的利用
受影響的產品	Magento 開源版 1.9.3.6 前的版本與 Magento 商業版 1.14.3.6 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266
反映者：	Jeroen Boersma

 

 

APPSEC-1757: 模板配置中的目錄阻礙
種類：	信息洩漏 (系統)
CVSSv3 嚴重性：	6.1 (中)
已知的攻擊：	無
敘述：	具有有限權限的管理員可強制Magento存取通知來包含內部系統文件
受影響的產品：	Magento 開源版 1.9.3.6 前的版本與 Magento 商業版 1.14.3.6 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6， SUPEE-10266
反應者：	Nashcontrol

 

 

APPSEC-1852: CSRF + 存儲跨站腳本 (客戶群組)
種類：	CSRF, XSS (存儲)
CVSSv3 嚴重性：	6.0 (中)
已知的攻擊：	無
敘述：	具有有權限的Magento管理員可利用客戶群組中的漏洞來創建一個URL以作為一部分的CSRF攻擊
受影響的產品：	Magento 開源版 1.9.3.6 前的版本 and Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6， Magento 商業版 1.14.3.6， SUPEE-10266，Magento 2.0.16，Magento 2.1.9
反應員：	Boskostan

 

 

APPSEC-1494: 管理員通知存取 XSS
種類：	跨站腳本 (XSS, 存取)
CVSSv3 嚴重性：	5.9 (中)
已知的攻擊：	無
敘述：	有能力在網絡連接上發起中間人攻擊的攻擊者可以在Magento管理員RSS提要中註入代碼
受影響的產品：	Magento 開源版 1.9.3.6 前的版本， Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6， Magento 商業版 1.14.3.6，SUPEE-10266, Magento 2.0.16，Magento 2.1.9
反應者：	lleber

 

 

APPSEC-1793: 濳在的文件上傳僅由 .htaccess 保護
種類：	執行遠程代碼 (RCE)
CVSSv3 嚴重性：	5.8 (中)
已知的攻擊：	無
敘述：	攻擊者可針對非Apache安裝（如Nginx）來上傳可執行的腳本並可用於分階段開發
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，和 Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266, Magento 2.0.16，Magento 2.1.9
反應者：	Internal

 

 

APPSEC-1853: CSRF + 在電子報中存取跨站指令碼的範本
種類：	CSRF, XSS (儲存)
CVSSv3 嚴重性：	5.5 (中)
已知的攻擊：	無
描述：	具有有權限的管理員可以利用電子報模板中的漏洞創建可用於CSRF攻擊中的網址
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266, Magento 2.0.16，Magento 2.1.9
反應者：	Boskostan

 

 

APPSEC-1729: 跨站指令碼在Magento管理員檢視訂單時以訂單狀態標籤
種類：	跨站指令碼 (XSS, 存儲)
CVSSv3 嚴重性：	5.5 (中)
已知的攻擊：	無
敘述：	管理員可在銷售訂單紀錄中注入代碼，這可能導致針對任何看過頁面的人遭受跨站指令碼攻擊
受影響的產品：	Magento 開源碼 1.9.3.6 前的版本，Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266，ㄩㄝMagento 2.0.16，Magento 2.1.9
反應者：	fabian

 

 

APPSEC-1579: 客戶細分刪除動作利用GET而非POST請求
種類：	跨站請求偽造 (CSRF)
CVSSv3 嚴重性：	5.1 (中)
已知的攻擊：	無
敘述：	Magento 管理員於客戶細分頁面可通過不足的形式鍵的安全檢查進行惡意的行為
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6， Magento 商業版 1.14.3.6，SUPEE-10266，Magento 2.0.16，Magento 2.1.9
反應者：	Internal

 

 

APPSEC-1588: 洩漏訂單項目客制選項
種類：	資訊洩漏 (訂單)
CVSSv3 嚴重性：	4.9 (中)
已知的攻擊：	無
敘述：	攻擊者可在結帳時製造一個網址請求來取得歷史訂單的資訊
受影響的產品：	Magento 開源版 1.9.3.6 前的版本， Magento 商業版 1.14.3.6 前的版本， Magento 2.0  2.0.16 前的版本，Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6, Magento 商業版 1.14.3.6, SUPEE-10266, Magento 2.0.16, Magento 2.1.9
反應者：	Peter O’Callaghan

 

 

APPSEC-1599: 管理員登入無法正確完成自動填寫功能
種類：	資訊洩漏 (系統)
CVSSv3 嚴重性：	4.1 (中)
已知的攻擊：	無
敘述：	管理員控制台中有幾個項目無法正確完成自動填寫功能，這可能導致當瀏覽器嘗試著自動填寫項目時有濳在的資訊洩漏的可能
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，Magento 商業版 1.14.3.6 前的版本，Magento 2.0  2.0.16 前的版本， Magento 2.1  2.1.9 前的版本
修復於：	Magento 開源版 1.9.3.6， Magento 商業版 1.14.3.6， SUPEE-10266，Magento 2.0.16，Magento 2.1.9
反應者：	Internal

 

 

APPSEC-1688: 安全的cookie檢查來防止MITM於用戶期間時到期
種類：	Insufficient Session Expiration
CVSSv3 嚴重性：	3.8 (Low)
已知的攻擊：	None
敘述：	Magento 沒有正確的驗證期間cookies，或使他們到期，因而可能造成允許訪客利用過期的cookie來與商店進行互動
受影響的產品：	Magento 開源版 1.9.3.6 前的版本，Magento 商業版 1.14.3.6 前的版本
修復於：	Magento 開源版 1.9.3.6，Magento 商業版 1.14.3.6，SUPEE-10266
反應者：	jay-d

有關於更多保護您的網站的資訊，請參閱安全最佳做法。

請確保先於開發環境下實施且測試修補程序正常運行後再部署至生產站。

本文章翻譯原文於 Magento Tech Resources