Prestashop asunto de seguridad PHPUnit, Analisis despues del incidente

Los primeros días de Enero, un asunto de seguridad con PHPUnit en algunos módulos permitieron que unos atacantes ejecutaran código sin autorización a traves de la dependencia PHPUnit. Esta vulnerabilidad fue descubierta a través de un vendedor cuyas tiendas fueron comprometidas.



Trasfondo

En PrestaShop usan un sistema automatizado para construir paquetes para módulos nativos y hacerlos disponibles a través de "Addons Marketplace API". Este proceso usa composer para instalar dependencias antes de crear el paquete comprimido, durante este proceso por error, dependencias  de desarrollo (Como PHPUnit) no estaban siendo excluidas y encontraron la se copiaron en los paquetes construidos.

Esto fue un error de codigo el cual fue solventando en un corto periodo, pero los archivos mal construidos ya habían sido distribuidos para tiendas activas. A su vez, consideraron que esto no seria un problema ya que el numero de módulos que incluyen dependencias de desarrollo es bastante pequeño, y no se conocía ninguna vulnerabilidad en las dependencias.

Sin embargo, cuando PrestaShop actualiza un modulo, solo sobrescribe los viejos archivos con los nuevos, No elimina los archivos que existían en la vieja version pero no estan en la nueva version.

Esto quiere decir que si un modulo incluye archivos vulnerables instalados, cuando se actualice a una nueva versión que incluya estos archivos, la vulnerabilidad no sera removida y permanece allí.

Comunicación

El equipo de seguridad de prestashop se comunico con otros importantes equipos de CMS en orden de informar acerca de este asunto asi que estos revisaron si esto afectaba a modulos o plugins en sus sitios.

Ya que el año pasado  en la cumbre de seguridad  de Google CMS, en prestashop fue parte, garantiza que muchas personas del ecosistema CMS, compartieran sus hitos de seguridad. Esto remite a todos compartir información frecuentemente

Una vez el alcance completo de fue confirmad, y después de que usuarios podrían estar protegidos contra la vulnerabilidad actualizando los módulos vulnerables a la ultima version, comunicaron a través múltiples canales a nuestros usuarios y la comunidad de comunidad a lo largo de este incidente.

Finalmente comunicaron a través de sus redes sociales para advertir a la comunidad

Desde este dia seguirán comunicando con la comunidad de miembros acerca de las vulnerabilidades y como fueron impactados ellos mismos

Cambios Técnicos

Todos  prestashop módulos y archivos han sido revisados, and los archivos vulnerables han sido actualizados,  Los próximos lanzamientos de módulos corruptos no tendrán la vulnerabilidad del PHPUnit and durante el proceso de actualización, se eliminaran los archivos corruptos si son encontrados.

De esta forma no se necesita corregir manualmente los módulos comprimidos , ya que ahora son seguros,  La vulnerabilidad solo estaba presente para el modulo de construcción antes del pipeline fue arreglado La vulnerabilidad solo estaba presente para los módulos construidos antes de que se reparara la tubería y no se reconstruyeran.


Post Original (Ingles): https://build.prestashop.com/news/phpunit-security-issue-post-analysis/

Comentarios

Entradas populares