URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 119642
[ Назад ]

Исходное сообщение
"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено opennews , 29-Янв-20 21:41

Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):...
Подробнее: https://www.opennet.me/opennews/art.shtml?num=52274

Содержание

Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 21:41 , 29-Янв-20
- Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 21:53 , 29-Янв-20
Критические уязвимости в платформе электронной коммерции Mag...,commiethebeastie, 21:45 , 29-Янв-20
Критические уязвимости в платформе электронной коммерции Mag...,Adobe, 22:34 , 29-Янв-20
Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 08:13 , 30-Янв-20
Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 08:16 , 30-Янв-20
- Критические уязвимости в платформе электронной коммерции Mag...,конь в пальто, 12:24 , 30-Янв-20
  - Критические уязвимости в платформе электронной коммерции Mag...,sin, 13:48 , 30-Янв-20
    - Критические уязвимости в платформе электронной коммерции Mag...,конь в пальто, 15:03 , 30-Янв-20
Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 08:53 , 30-Янв-20
- Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 06:15 , 31-Янв-20
  - Критические уязвимости в платформе электронной коммерции Mag...,KonstantinB, 14:14 , 31-Янв-20
    - Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 09:51 , 01-Фев-20
      - Критические уязвимости в платформе электронной коммерции Mag...,KonstantinB, 17:55 , 01-Фев-20
        
        Критические уязвимости в платформе электронной коммерции Mag...,Й, 17:04 , 02-Фев-20
        
        Критические уязвимости в платформе электронной коммерции Mag...,KonstantinB, 02:31 , 03-Фев-20
        
        Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 09:00 , 04-Фев-20
      - Критические уязвимости в платформе электронной коммерции Mag...,KonstantinB, 18:05 , 01-Фев-20
Критические уязвимости в платформе электронной коммерции Mag...,Michael Shigorin, 12:43 , 30-Янв-20
- Критические уязвимости в платформе электронной коммерции Mag...,Аноним, 20:47 , 30-Янв-20

Сообщения в этом обсуждении

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 29-Янв-20 21:41

Никогда такого не было и вот опять.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 29-Янв-20 21:53

Он знали на что шли. и наверняка нехило сэкономили.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено commiethebeastie , 29-Янв-20 21:45

Кому кредитных карт с персональными данными?

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Adobe , 29-Янв-20 22:34

бл... кто помнит как звали того Кумара который нам ЭТО купил и нахрена он это сделал?

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 30-Янв-20 08:13

Адоб и критические уязвимости - прям как в старые добрые времена flash

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 30-Янв-20 08:16

Оно вроде написано на zend framework - который помер
Или уже переписали на laminas?

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено конь в пальто , 30-Янв-20 12:24

при чем на первом зф. и рефакторить вроде как не собираются. там те еще олени в разработке сидят.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено sin , 30-Янв-20 13:48

Это была первая, которая EOL. Вторая на Symfony.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено конь в пальто , 30-Янв-20 15:03

вторая тоже на zf1. https://github.com/magento/magento2/blob/2.3/composer.json#L...
они используют некоторые symfony компоненты, но то же через 1 место, испоганив их своими обертками.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 30-Янв-20 08:53

>CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД.
little bobby tables strikes again
а чо глобально надёжно ынтырпрайзно
вЭбота фреймворки жавы CIO закупки МБА вот это всё))) а потом золотой парашют. и по новой!

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 31-Янв-20 06:15

Используй фреймворк - говорили они
Там нет возможности sql injection - говорили они

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено KonstantinB , 31-Янв-20 14:14

Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 01-Фев-20 09:51

А веть это позиционируется как одно из основновных приемуществ
Вывод - фреймворк не нужны

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено KonstantinB , 01-Фев-20 17:55

Наличие вилки не мешает жрать руками. Вывод - вилки не нужны!

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Й , 02-Фев-20 17:04

Проблема не в том что можно есть руками
Проблема в том что тебе нагло врут что вилка защищает от наличия тараканов и мух в еде

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено KonstantinB , 03-Фев-20 02:31

Надо меньше читать хабр по утрам и больше думать головой.

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 04-Фев-20 09:00

но все продвиженцы фрейморков утверждают что если используешь фреймворки - то думать головой не обязательно

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено KonstantinB , 01-Фев-20 18:05

Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно.
На этой идее вполне можно сделать статический анализатор (но он должен быть достаточно конфигурируемым, чтобы ему объяснить API конкретного DBAL).

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Michael Shigorin , 30-Янв-20 12:43

#шо05?

"Критические уязвимости в платформе электронной коммерции Mag..."
Отправлено Аноним , 30-Янв-20 20:47

Даги сила, ежжи