Ecco l'elenco dei file modificati dalla patch SUPEE-10570:
app/Mage.php
app/code/core/Mage/Admin/Helper/Data.php
app/code/core/Mage/Admin/Model/Block.php
app/code/core/Mage/Admin/Model/Resource/Block.php
app/code/core/Mage/Admin/Model/User.php
app/code/core/Mage/Adminhtml/Block/Catalog/Category/Edit/Form.php
app/code/core/Mage/Adminhtml/Block/Catalog/Product/Grid.php
app/code/core/Mage/Adminhtml/Block/Newsletter/Template/Grid/Renderer/Sender.php
app/code/core/Mage/Adminhtml/Block/Sales/Order/Grid.php
app/code/core/Mage/Adminhtml/Block/Sales/Order/View/Info.php
app/code/core/Mage/Adminhtml/Block/System/Store/Edit/Form.php
app/code/core/Mage/Adminhtml/Block/Tag/Assigned/Grid.php
app/code/core/Mage/Adminhtml/Block/Widget/Grid/Column/Renderer/Store.php
app/code/core/Mage/Adminhtml/Block/Widget/Tabs.php
app/code/core/Mage/Adminhtml/Model/Config/Data.php
app/code/core/Mage/Adminhtml/Model/System/Store.php
app/code/core/Mage/Adminhtml/controllers/Catalog/ProductController.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/System/BackupController.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/Model/Variable.php
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/etc/config.xml
app/code/core/Mage/Customer/sql/customer_setup/upgrade-1.6.2.0.1.1.1-1.6.2.0.1.1.2.php
app/code/core/Mage/Downloadable/etc/config.xml
app/code/core/Mage/Downloadable/etc/system.xml
app/code/core/Mage/Downloadable/sql/downloadable_setup/upgrade-1.6.0.0.2.1.1-1.6.0.0.2.1.2.php
app/code/core/Mage/ImportExport/Model/Import.php
app/code/core/Mage/ImportExport/Model/Import/Entity/Product.php
app/code/core/Mage/Shipping/Model/Info.php
app/code/core/Mage/Widget/controllers/Adminhtml/Widget/InstanceController.php
app/design/adminhtml/default/default/template/catalog/product/attribute/set/main.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/customer/tab/view/sales.phtml
app/design/adminhtml/default/default/template/dashboard/store/switcher.phtml
app/design/adminhtml/default/default/template/downloadable/product/composite/fieldset/downloadable.phtml
app/design/adminhtml/default/default/template/downloadable/product/edit/downloadable/links.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/creditmemo/name.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/invoice/name.phtml
app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/name.phtml
app/design/adminhtml/default/default/template/newsletter/preview/store.phtml
app/design/adminhtml/default/default/template/report/store/switcher.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/adminhtml/default/default/template/store/switcher.phtml
app/design/adminhtml/default/default/template/store/switcher/enhanced.phtml
app/design/adminhtml/default/default/template/system/convert/profile/wizard.phtml
app/design/adminhtml/default/default/template/tax/rate/title.phtml
app/design/adminhtml/default/default/template/widget/form/renderer/fieldset.phtml
app/locale/en_US/Mage_Catalog.csv
app/locale/en_US/Mage_ImportExport.csv
lib/Zend/Mail/Transport/Sendmail.php
MODIFICARE
Alla fine, dopo la distribuzione sul mio sito Web (CE 1.7.0.2), ho notato un problema di blocco critico (processo di checkout bloccato).
Il contesto:
dopo l'indirizzo del passaggio 1, creo direttamente e registro il cliente, dovrebbe vedere solo il passaggio successivo.
Il problema:
dopo supee-10570, il processo di pagamento viene interrotto dopo il passaggio 1 (nel caso in cui sia stata creata l'account) e il cliente viene reindirizzato alla pagina iniziale (con carrello vuoto + disconnesso) = impossibile ottenere il pagamento.
La soluzione di emergenza:
in caso di problemi simili con il checkout / la sessione del cliente, commentare le righe 414-430 da app / code / core / Mage / Core / Model / Session / Abstract / Varien.php (quelle aggiunte dalla patch , vedi sotto).
// if ($this->useValidateSessionPasswordTimestamp()
// && isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
// && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
// && $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
// > $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
// ) {
// return false;
// }
// if ($this->useValidateSessionExpire()
// && isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
// && $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] < time() ) {
// return false;
// } else {
// $this->_data[self::VALIDATOR_KEY][self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP]
// = $validatorData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP];
// }
MODIFICA (2)
Penso che la seguente condizione restituirà sempre false (Mage_Core_Model_Session_Abstract_Varien alle righe 414-419, in particolare le righe 417 + 418).
if ($this->useValidateSessionPasswordTimestamp()
&& isset($validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP])
&& isset($sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP])
&& $validatorData[self::VALIDATOR_PASSWORD_CREATE_TIMESTAMP]
> $sessionData[self::VALIDATOR_SESSION_EXPIRE_TIMESTAMP] - $this->getCookie()->getLifetime()
) {
return false;
VALIDATOR_PASSWORD_CREATE_TIMESTAMP sarà sempre maggiore di VALIDATOR_SESSION_EXPIRE_TIMESTAMP. Il timestamp di "scadenza" della sessione viene ridefinito al momento della creazione dell'account, quindi inevitabilmente più vecchio di init di sessione.
Ad esempio, se crei il cliente durante il checkout, questo restituirà false e il cliente verrà semplicemente espulso (= termina il checkout, reindirizza alla homepage e carrello vuoto). Piuttosto male.
Ho segnalato questo problema al team di Magento. Darò un feedback qui al più presto.
MODIFICA (3)
Viene cancellata una nuova patch (nella pagina di download della patch magento è scritto "SUPEE-10570 per CE 1.7.0.0 - PATCH AGGIORNATO PREVISTO, NON UTILIZZARE (0,06 MB)").
EDIT (4) ~ 1 mese dopo la segnalazione del problema di blocco iniziale
Ciao! Spero che tu sia tutto un bene (e spero che tu non abbia mantenuto lo stato iniziale della patch fino ad ora, a meno che il tuo reddito aziendale non fosse probabilmente diminuito seriamente ^^).
Ho notato la seguente frase dalla pagina ufficiale: "Magento ora fornisce una patch aggiornata (SUPEE-10570v2) che non causa più questo problema. Si noti, tuttavia, che questa nuova patch non protegge più da due sessioni a basso rischio legate alla gestione problemi di sicurezza contro i quali è stata protetta la patch SUPEE-10570. " dalla pagina ufficiale supee-10570.
Sulla pagina di rilascio possiamo finalmente trovare il file v2 (PATCH_SUPEE-10570_CE_v1.7.0.2_v2-2018-03-29-08-52-37.sh).
Ho studiato le modifiche in dettaglio. Finalmente sembra che il team di Magento abbia appena deciso di abbandonare una parte di sicurezza della patch. Spero che questo buco di sicurezza non provochi gravi danni (è basso critico secondo la nota ufficiale).
Dopo aver ripristinato v1 + applica v2, assicurarsi che i seguenti file siano ripristinati come stato iniziale (prima dell'applicazione di v1):
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Customer/controllers/AccountController.php
app/code/core/Mage/Customer/Helper/Data.php
app/code/core/Mage/Customer/Model/Resource/Customer.php
PS: ovviamente anche alcuni altri file vengono modificati, si prega di controllare di conseguenza.