phiên bản Magento (của 1.4 đến 1.9) có lỗ hổng nghiêm trọng – nhập khẩu Magento Patches

cập nhật từ 04.09.2015

Đối với tất cả, những người có vấn đề khi cài đặt các bản vá lỗi, rằng các máy chủ khi bạn gọi u.g. patch.php hoặc trực tiếp qua tin nhắn lỗi SSH mảng ( [0] => LỖI: “/app / etc /” phải tồn tại cho công cụ làm việc thích hợp. ) Phát ra, những giúp đỡ chút: Trong trường hợp này, có một vấn đề với các biến, chỉ ra đường dẫn cài đặt hiện tại. Ở đây thì các biến phải được thay thế bởi các đường dẫn chính xác của quá trình cài đặt Magento.

Để tìm ra con đường chính xác, có một số cách. Ở đây đơn giản hai:

1. SSH / lệnh Shell: Đơn giản chỉ cần nhập PWD trong giao diện điều khiển. Cửa sổ spits ra con đường chính xác.
2. Ai làm việc trên các hướng dẫn dưới đây với các patch.php, thay thế các dòng

   $shellBefehl = "sh patch.sh";

   tạm thời với các dòng

   $shellBefehl = "pwd";

   Sau đó ném patch.php và thay thế trong cửa sổ trình duyệt chính xác đường dẫn để cài đặt.

Con đường này có thể ví dụ. do đó, nhìn / www / htdocs / w23drdc / my-shop / magento / . Bây giờ con đường được sao chép và trong các tập tin vá lỗi (z.B. patch.sh như mô tả dưới đây) như. phù hợp với

CURRENT_DIR = `$ PWD_BIN` /

đã qua sử dụng. Cụ thể, các biến được loại bỏ và thay thế bằng con đường. Tuy nhiên điều quan trọng là, trước hết là giữ lại các dấu ngoặc kép và, thứ hai, một trận chung kết / vẫn tồn tại. sau đó nó có thể trông như thế này:

CURRENT_DIR = `/ www / htdocs / w23drdc / mein-shop / magento /`

Sau đó lưu lại và thông qua SSH hoặc patch.php (s.u.) thực hiện. Bây giờ nó phải làm việc.

Những bản vá lỗi đã tình cờ đã được cài đặt, bạn có thể trong ứng dụng thư mục / etc / applied.patches.list thấy.

cập nhật từ 04.08.2015

Một lần nữa, có một miếng vá cho Magento. Thời gian này ông đi bằng tên đẹp SUPEE-6482. Đồng thời đến các mới Magento CE Version 1.9.2.1 tải trên thị trường. Đây sẽ là bản vá lỗi trước. Các lỗ hổng vá mới được cố định vì lợi ích của giao diện khác nhau của sự an toàn, trong đó sẽ bị cáo buộc chưa bị tấn công. Tất cả thông tin là các khóa học trên lưng trang Magento. Điều này ảnh hưởng đến tất cả các phiên bản của Magento 1.4 đến 1.9.2.0. muốn, chúng ta cài đặt các bản vá lỗi cho bạn? hoặc nhiều, sau đó bạn có thể đặt chúng tôi Installationsservice. Thông tin chi tiết có thể ví dụ nó. cũng ĐÂY.

Trong khi đó đã trở thành được biết đến, rằng các bản vá thay đổi SUPEE-6285 với cơ cấu quyền người dùng đã đạt được trong các phụ trợ (“ACL“). Điều này thể hiện trong, rằng ở người sử dụng phụ trợ, NO ĐẦY ĐỦ truy cập backend -so quyền hạn chế- có, khu vực nhất định không còn có sẵn và cung cấp cho họ một “404 Không tìm thấy trang” hoặc “404 truy cập bị từ chối” xuất hiện. Điều này đi cho đến nay, mà ngay cả màn hình hiển thị của các khoản tín dụng / điều chỉnh thanh toán công trình không còn. Nhưng điều này xảy ra đặc biệt là mở rộng và không có chức năng tiêu chuẩn Magento.

cập nhật từ 08.07.2015

Và một lần nữa có một bản vá mới cho các lỗ hổng trong Magento. Điều này được gọi là SUPEE-6285 và là trực tiếp trên trang Magento có sẵn. Có sẵn là các bản vá lỗi cho phiên bản Magento CE 1.4.0.0 đến 1.9.1.1. Trong phiên bản chỉ phát hành 1.9.2.0 bản vá này được bao gồm. Đối với các phiên bản cũ để 1.6 không có bản vá tồn tại, phải được giả định, rằng các lỗ hổng có thể không tồn tại ở đây. cập nhật: Bởi bây giờ, cho tất cả các phiên bản Magento 1.4 bản vá lỗi có sẵn. Các miếng vá khá rộng, Vì thế một ứng dụng thông qua SSH hoặc các hướng dẫn dưới đây là rất khuyến khích.

Điều gốc:

Trong tất cả các phiên bản -CE Magento và EE- là trong tất cả các phiên có liên quan một lỗ hổng bảo mật, mà làm cho nó có thể để vào cài đặt cửa hàng, để sau đó có thể truy cập dữ liệu và máy chủ. Khoảng cách này có thể được sử dụng có thể, để khởi động các cuộc tấn công vào các mục tiêu bên ngoài. Mô tả chi tiết hơn và thêm chi tiết có trong RackspeedBlog. Đây là bản vá SUPEE-5344.

Một lời khuyên (thông qua việc bổ sung các Rackspeed) cho người, không có quyền truy cập vỏ và các dữ liệu muốn điều chỉnh bởi tập tin sửa đổi nhãn hiệu:

bỏ qua phần chứa thông tin và hướng dẫn trong file vá sh. qua “#9. Theo dõi vá áp dụng kết quả”nó chỉ là sau đó xảy ra. Luôn tập tin, phía sau “diff” được phải được thay đổi. Trong phiên bản vá lỗi cho Magento CE 1.8-1.9 là ví dụ. các tập tin

app / code / core / Mage / Admin / mẫu / Observer.php

app / code / core / Mage / Core / Controller / Yêu cầu / Http.php

app / code / core / Mage / Oauth / controllers / Adminhtml / Oauth / AuthorizeController.php

app / code / core / Mage / XmlConnect / mẫu / Observer.php

lib / Varian / Db / Adapter / PDO / Mysql.php

sau đó các tập tin này phải -something bày ngắn gọn- các dòng, đó đều bắt đầu bằng một trừ được loại bỏ và các dòng, được cung cấp với một Cộng, được thêm.

Cách dễ dàng nhất, tuy nhiên, nó là toàn bộ điều để làm với SSH.

Một mẹo cho quản trị viên của nhiều cửa hàng: Người và các máy chủ khác cũng có thể ra lệnh SSH qua PHP. Vì vậy, bạn có thể làm cho mình rất dễ dàng.

Đây là ví dụ. bản sao một tập tin patch.php cùng với các tập tin patch.sh trong thư mục gốc của cửa hàng. Các tập tin PHP có chứa đoạn mã sau:

<?PHP

$shellBefehl = "sh patch.sh";

$shellBefehl = escapeshellcmd($shellBefehl);

exec($shellBefehl,$nu);

print_r($nu);

?>

Bây giờ bạn cần phải gọi các cửa hàng chỉ thông qua các trình duyệt và treo một /patch.php URL. Một sau đó lấy được một thành công hoặc báo lỗi. Sau đó, bạn nên xóa hai tập tin, nhưng vì sự an toàn của.

Việc sử dụng các file PHP tự nhiên cũng làm việc với các bản vá lỗi bảo mật khác hoặc các lệnh shell, bạn muốn tải lên mà không cần truy cập SSH trong cửa hàng của mình. Ví dụ, ngay cả khi SUPEE-1533 và khác.

Được sử dụng trong các phiên bản Magento 1.4.0.1 đến 1.9.1.0.. câu hỏi, bình luận, gợi ý? vui vẻ!