Poprawki bezpieczeństwa Magento wyglądają tak, jakby były .shplikami. Jak ktoś zastosuje te poprawki bez dostępu SSH do swoich instalacji Magento?

Czy te łatki są kumulatywne? IE: Czy zostaną uwzględnione w przyszłej wersji Magento, czy też trzeba je ponownie zastosować?

Zadaję to pytanie, ponieważ zalogowałem się do panelu administracyjnego i otrzymałem krytyczne ostrzeżenie dotyczące bezpieczeństwa:

Pobierz i zaimplementuj 2 ważne łaty bezpieczeństwa ( SUPEE-5344 i SUPEE-1533 ) ze strony pobierania Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Jeśli jeszcze tego nie zrobiłeś, pobierz i zainstaluj 2 wcześniej wydane łaty, które uniemożliwiają osobie atakującej zdalne wykonanie kodu w oprogramowaniu Magento. Te problemy dotyczą wszystkich wersji Magento Community Edition.

Komunikat prasowy od Check Point Software Technologies w najbliższych dniach ujawni jeden z tych problemów, prawdopodobnie ostrzegając hakerów, którzy mogą próbować je wykorzystać. Upewnij się, że poprawki zostały wprowadzone jako środek zapobiegawczy przed opublikowaniem problemu.

a to na dzień 14 maja 2015 r . :

Ważne jest, aby pobrać i zainstalować nową poprawkę bezpieczeństwa ( SUPEE-5994 ) ze strony pobierania Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Należy natychmiast zastosować tę krytyczną aktualizację, aby chronić swoją witrynę przed narażeniem na wiele luk w zabezpieczeniach wpływających na wszystkie wersje oprogramowania Magento Community Edition. Uwaga: ta poprawka powinna zostać zainstalowana jako dodatek do najnowszej łatki Shoplift (SUPEE-5344).

Otrzymałem również następujący e-mail:

Drogi Kupco Magento,

Aby dodatkowo zabezpieczyć platformę Magento przed potencjalnymi atakami, wypuszczamy dziś nową łatkę (SUPEE-5994) z wieloma krytycznymi poprawkami bezpieczeństwa. Łatka rozwiązuje szereg problemów, w tym scenariusze, w których osoby atakujące mogą uzyskać dostęp do informacji o klientach. Luki te zostały zebrane dzięki naszemu wielopunktowemu programowi bezpieczeństwa i nie otrzymaliśmy żadnych raportów na temat wpływu tych problemów na akceptantów lub ich klientów.

Wpływ na wszystkie wersje oprogramowania Magento Community Edition. Zdecydowanie zalecamy współpracę z partnerem lub programistą w celu natychmiastowego wdrożenia tej krytycznej poprawki. Uwaga: ta poprawka powinna zostać zainstalowana jako dodatek do najnowszej łatki Shoplift (SUPEE-5344). Więcej informacji na temat problemów związanych z bezpieczeństwem znajduje się w dodatku do podręcznika użytkownika Magento Community Edition.

Możesz pobrać łatkę ze strony pobierania Community Edition. Poszukaj poprawki SUPEE-5994. Łatka jest dostępna dla wersji społecznościowej 1.4.1– 1.9.1.1.

Należy najpierw wdrożyć i przetestować poprawkę w środowisku programistycznym, aby potwierdzić, że działa ona zgodnie z oczekiwaniami przed wdrożeniem jej w witrynie produkcyjnej. Informacje na temat instalowania poprawek w Magento Community Edition są dostępne online.

Dziękujemy za uwagę na ten problem.

AKTUALIZACJA 7 LIPCA 2015

7 lipca 2015 r .: Nowa łatka bezpieczeństwa Magento ( SUPEE-6285 ) - natychmiastowa instalacja
Dzisiaj udostępniamy nową łatkę bezpieczeństwa ( SUPEE-6285 ), która usuwa krytyczne luki w zabezpieczeniach. Łatka jest dostępna w wersji Community od 1.4.1 do 1.9.1.1 i jest częścią podstawowego kodu naszej najnowszej wersji, Community Edition 1.9.2, dostępnej do pobrania dzisiaj. UWAGA: Musisz najpierw zaimplementować SUPEE-5994, aby zapewnić prawidłowe działanie SUPEE-6285 . Pobierz wersję Community Edition 1.9.2 lub łatkę ze strony pobierania wersji Community Edition: https://www.magentocommerce.com/products/downloads/magento/

AKTUALIZACJA 4 sierpnia 2015 r

4 sierpnia 2015: Nowa łatka bezpieczeństwa Magento ( SUPEE-6482 ) - Zainstaluj natychmiast
Dzisiaj udostępniamy nową łatkę bezpieczeństwa ( SUPEE-6482 ), która rozwiązuje 4 problemy bezpieczeństwa; dwa problemy związane z interfejsami API i dwa ryzyka związane ze skryptami krzyżowymi. Łatka jest dostępna dla wersji Community Edition 1.4 i późniejszych oraz jest częścią podstawowego kodu wersji Community Edition 1.9.2.1, która jest dostępna do pobrania dzisiaj. Przed wdrożeniem tej nowej poprawki zabezpieczeń należy najpierw zaimplementować wszystkie poprzednie poprawki zabezpieczeń. Pobierz wersję Community Edition 1.9.2.1 lub łatkę ze strony pobierania wersji Community Edition pod adresem https://www.magentocommerce.com/products/downloads/magento/

AKTUALIZACJA 27 PAŹDZIERNIKA 2015

27 października 2015: Nowa łatka bezpieczeństwa Magento ( SUPEE-6788 ) - Zainstaluj natychmiast
Dzisiaj wypuszczamy nową łatkę ( SUPEE-6788 ) i wersję społecznościową 1.9.2.2/Enterprise Edition 1.14.2.2, aby rozwiązać ponad 10 problemów bezpieczeństwa, w tym zdalne wykonywanie kodu i podatność na wycieki informacji. Ta poprawka nie ma związku z problemem złośliwego oprogramowania Guruincsite . Najpierw należy przetestować poprawkę w środowisku programistycznym, ponieważ może ona wpływać na rozszerzenia i dostosowania. Pobierz łatkę ze strony pobierania Community Edition / portalu wsparcia dla wersji Enterprise Edition i dowiedz się więcej na http://magento.com/security/patches/supee-6788 .

AKTUALIZACJA 20 STYCZNIA 2016

Ważne: Nowa poprawka bezpieczeństwa ( SUPEE-7405 ) i wydanie - 1/20/2016
Dzisiaj wypuszczamy nową łatkę ( SUPEE-7405 ) i Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 w celu poprawy bezpieczeństwa witryn Magento . Nie ma potwierdzonych ataków związanych z problemami bezpieczeństwa, ale niektóre luki można wykorzystać do uzyskania dostępu do informacji o klientach lub przejęcia sesji administratora. Możesz pobrać łatkę i wydanie ze strony pobierania wersji Community / MyAccount i dowiedzieć się więcej na https://magento.com/security/patches/supee-7405 .

AKTUALIZACJA 23 LUT 2016

Zaktualizowane wersje poprawki SUPEE7405 są już dostępne. Aktualizacje dodają obsługę PHP 5.3 i rozwiązują problemy z uprawnieniami do przesyłania plików, scalania koszyków i interfejsów API SOAP występujące w oryginalnej wersji. NIE rozwiązują żadnych nowych problemów bezpieczeństwa. Możesz pobrać łatkę i wydanie ze strony pobierania wersji Community / MyAccount i dowiedzieć się więcej na https://magento.com/security/patches/supee-7405 .

Ręczne stosowanie łatek bez dostępu do SSH

Masz tutaj rację. Łaty są dostarczane w postaci .shplików i Magento nie oferuje żadnego rozwiązania dla stron FTP.

Sugeruję, aby ktoś skopiował kod swojej witryny do lokalnego środowiska przez FTP (prawdopodobnie już to miałbyś). Następnie zastosuj poprawkę, uruchamiając .shplik.

Teraz musisz dowiedzieć się, które pliki musisz przesłać ponownie. Jeśli chcesz otworzyć .shplik łatki, zobaczysz, że składa się z dwóch części:

1. Kod powłoki Bash, aby zastosować łatkę. Ten kod jest ogólny dla każdej poprawki.
2. Rzeczywista łatka w postaci ujednoliconego formatu łatek . Wskazuje tylko linie w plikach, które zostały zmienione (w tym niektóre linie kontekstu). To zaczyna się poniżej linii__PATCHFILE_FOLLOWS__

W drugiej sekcji można było przeczytać, które pliki zostały / dotknięte przez łatkę. Musisz ponownie przesłać te pliki na FTP lub ... możesz po prostu załadować wszystko.

Nakładanie ręczne bez bash / shell

1. Jeśli nie możesz uruchamiać .shplików (w systemie Windows), możesz wyodrębnić drugą sekcję łatki ( zunifikowaną łatkę ) i zastosować ją ręcznie za pomocą narzędzia do łatania (lub na przykład poprzez PHPStorm ).
2. Witryna Magentary.com zapewnia pliki ZIP dla każdej wersji Magento zawierające tylko pliki załatane .

Poprawki w bieżących i przyszłych wydaniach?

Poprawki, które zostały teraz wydane, dotyczą wszystkich wersji, które zostały już wydane. Oczywiście, czy Magento może wydać nową wersję (większą lub mniejszą). Następnie będą zawierać wszystkie łatki bezpieczeństwa, ponieważ Magento w naturalny sposób zastosuje łaty do swojej bazy kodu programistycznego (łaty te nawet pochodzą z tej bazy kodu;)).

AKTUALIZACJA :
Każda ostatnia łatka Magento wydała także nowe wersje Magento CE i EE, które już zawierają konkretną najnowszą łatkę. Zobacz zakładkę Archiwum wersji na stronie pobierania Magento .

Sprawdź ten arkusz, obsługiwany przez JH, dla którego łat zainstalować, dla których wersji Magento CE i EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

Niestety nie ma „łatwego” sposobu na zainstalowanie tych łat bez dostępu do powłoki, ale są na to dwa sposoby.

Zainstaluj łatkę przez PHP

1. Użyj klienta FTP, aby przesłać określoną poprawkę do katalogu głównego folderu Magento.
2. Utwórz plik PHP o nazwie Applypatch.php, który uruchomi łatkę za Ciebie, i prześlij ją do katalogu głównego folderu Magento. Upewnij się, że używasz tutaj właściwej nazwy poprawki, jeśli nie używasz łaty dla wersji 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

3. Odwiedź plik pod adresem http://twoja.domena.com/applypatch.php i sprawdź, czy dane wyjściowe wyglądają zgodnie z oczekiwaniami.

Zainstaluj łatkę ręcznie

Plik .sh zawiera łatkę „DIFF”. Pokazują, które wiersze zostały usunięte i dodane. Chociaż nie radzę tego, powinieneś być w stanie ręcznie pobrać pliki przez FTP i edytować te pliki w wybranym edytorze, a następnie ponownie załadować je za pośrednictwem FTP. Format nie jest zbyt trudny do interpretacji , więc możesz to zrobić dla wszystkich plików i nie powinno to zająć więcej niż kilka minut.

W moim przypadku używam bitbucket do wersji Maintenance i dokonuję zmian na bieżąco tylko za pomocą bitBucket.

Więc co robię Kiedy nakładam łatki, nakładaj łatkę w moim systemie lokalnym i testuj wszystkie rzeczy. że moja strona działa.

i wepchnij wszystkie porcje do bitbucket, a na żywo wyciągnij wszystkie zmiany, a moja łatka zostanie zastosowana.

W przypadku, gdy robisz to, jeśli nie masz dostępu ssh

1) Zastosuj łatkę lokalnie i wypchnij zmiany do bitbucket. Bitbucket powie ci, które pliki zostały zmienione od ostatniego zatwierdzenia.

2) prześlij te pliki ręcznie przez FTP, a twoja łatka zostanie zastosowana.

Stosowanie łatek Magento przez FTP / sFTP lub FileManager / File Upload.

Metoda 1: -

Aby zastosować łatki w ten sposób, po prostu zastępujemy zmienione pliki. Tego sposobu nie można używać na ślepo, jeśli ty lub twoi programiści zmieniliście wszystkie podstawowe pliki Magento (co jest zresztą wielkim nie-nie). Takie zmiany należy ponownie zastosować do załatanych plików, w przeciwnym razie utracisz te zmiany.

uprzejmie odwiedź poniższe adresy URL, aby pobrać następujące poprawki: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Metoda 2: -

Pobierz plik łaty na https://magento.com/tech-resources/download#download1972 Prześlij pliki łatek w katalogu głównym Magento.

Utwórz jeden plik o nazwie patch.php, napisz w nim następujący kod,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Uruchamiasz patch.php z przeglądarki.

Jeśli otrzymujesz taki błąd,

„Błąd! Niektóre wymagane narzędzia systemowe, które są używane w tym skrypcie sh, nie są zainstalowane; Brakuje„ łatki ”narzędzia (-ów), zainstaluj ją (je).

Oznacza to, że narzędzia systemowe nie są zainstalowane na serwerze w celu uruchomienia skryptu sh.

Nie sądzę, że można to zrobić bez dostępu do SSH, ale zawsze możesz utworzyć konto SSH w panelu lub innym panelu, który masz, i istnieje ogromna szansa, że ​​znajdziesz samouczki dotyczące tworzenia konta SSH przez swojego Hosting Firma Google po prostu „nazwa firmy hostingowej + tworzenie ssh”.

Pobierz łatki (Właściwie tylko 1, ponieważ 1 jest dla EE, a drugi dla CE) Sugeruj, aby najpierw szybko uruchomić wstecz ...

cp -r public_html kopia zapasowa (zastąp public_html pełną instalacją Magento)

Najpierw prześlij łatkę na FTP do katalogu kopii zapasowej i sprawdź, czy wszystko jest w porządku, uruchamiając ją na kopii zapasowej .. sh nazwa_pliku.sh

Wszystko ok? Prześlij łatkę FTP do swojej instalacji i uruchomienia

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

przewodnik zaleca również „Aby ponownie zastosować prawo własności do plików zmienionych przez łatkę: Znajdź użytkownika serwera WWW: ps -o” polecenie grupy użytkowników ”-C httpd, apache2 Wartość w kolumnie USER to nazwa użytkownika serwera WWW. Zazwyczaj użytkownik serwera WWW Apache w CentOS to apache, a użytkownik serwera WWW Apache w Ubuntu to www-data. Jako użytkownik root z uprawnieniami root wpisz następujące polecenie z katalogu instalacyjnego Magento: chown -R web-server-user-name. Na przykład na Ubuntu, gdzie Apache zwykle działa jako dane www, wpisz chown -R www-data "

uruchamiając komendę ps jako root, dostałem root tylko jako użytkownik i uruchomiłem chown -R root i uruchomiłem instalację, uruchomiłem go ponownie z nazwą użytkownika konta użytkownika, na którym jest zainstalowany i wszystko było dobrze