Le patch di sicurezza di Magento sembrano .sh
file, come potrebbero applicarle senza l'accesso SSH alle loro installazioni di Magento?
Inoltre, queste patch sono cumulative? IE: Saranno inclusi nella versione futura di Magento o dovranno essere riapplicati?
Sto ponendo questa domanda perché ho effettuato l'accesso al mio pannello di amministrazione e ho ricevuto un avviso di sicurezza critico:
Scarica e implementa 2 importanti patch di sicurezza ( SUPEE-5344 e SUPEE-1533 ) dalla pagina di download di Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).
Se non lo hai già fatto, scarica e installa 2 patch rilasciate in precedenza che impediscono a un utente malintenzionato di eseguire in remoto codice sul software Magento. Questi problemi riguardano tutte le versioni di Magento Community Edition.
Un comunicato stampa di Check Point Software Technologies nei prossimi giorni renderà ampiamente noto uno di questi problemi, avvertendo probabilmente gli hacker che potrebbero tentare di sfruttarlo. Accertarsi che le patch siano in atto come misura preventiva prima che il problema sia pubblicizzato.
e questo a partire dal 14 maggio 2015 :
È importante scaricare e installare una nuova patch di sicurezza ( SUPEE-5994 ) dalla pagina di download di Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Si prega di applicare immediatamente questo aggiornamento critico per proteggere il sito dall'esposizione a più vulnerabilità di sicurezza che incidono su tutte le versioni del software Magento Community Edition. Si noti che questa patch deve essere installata in aggiunta alla recente patch di Shoplift (SUPEE-5344).
Ho anche ricevuto la seguente email:
Caro commerciante di Magento,
Per proteggere ulteriormente la piattaforma Magento da potenziali attacchi, stiamo rilasciando una nuova patch (SUPEE-5994) con più correzioni di sicurezza critiche oggi. La patch risolve una serie di problemi, inclusi scenari in cui gli aggressori possono accedere alle informazioni sui clienti. Queste vulnerabilità sono state raccolte attraverso il nostro programma di sicurezza multipunto e non abbiamo ricevuto segnalazioni di problemi relativi ai commercianti o ai loro clienti.
Tutte le versioni del software Magento Community Edition sono interessate e ti consigliamo vivamente di collaborare con il tuo Solution Partner o lo sviluppatore per distribuire immediatamente questa patch critica. Si noti che questa patch deve essere installata in aggiunta alla recente patch di Shoplift (SUPEE-5344). Ulteriori informazioni sui problemi di sicurezza sono disponibili nell'appendice del manuale dell'utente di Magento Community Edition.
È possibile scaricare la patch dalla pagina di download della Community Edition. Cerca la patch SUPEE-5994. La patch è disponibile per Community Edition 1.4.1– 1.9.1.1.
Assicurarsi di implementare e testare la patch in un ambiente di sviluppo per confermare che funzioni come previsto prima di distribuirla in un sito di produzione. Le informazioni sull'installazione di patch su Magento Community Edition sono disponibili online.
Grazie per l'attenzione su questo problema.
AGGIORNAMENTO 7 LUGLIO 2015
7 luglio 2015: Nuova patch di sicurezza Magento ( SUPEE-6285 ) - Installa immediatamente
Oggi stiamo fornendo una nuova patch di sicurezza ( SUPEE-6285 ) che risolve le vulnerabilità di sicurezza critiche. La patch è disponibile per Community Edition da 1.4.1 a 1.9.1.1 e fa parte del codice centrale della nostra ultima versione, Community Edition 1.9.2, disponibile per il download oggi. NOTA: è necessario prima implementare SUPEE-5994 per assicurarsi che SUPEE-6285 funzioni correttamente. Scarica Community Edition 1.9.2 o la patch dalla pagina di download di Community Edition: https://www.magentocommerce.com/products/downloads/magento/
AGGIORNAMENTO 4 AGOSTO 2015
4 agosto 2015: Nuova patch di sicurezza Magento ( SUPEE-6482 ) - Installa subito
Oggi stiamo fornendo una nuova patch di sicurezza ( SUPEE-6482 ) che risolve 4 problemi di sicurezza; due problemi relativi alle API e due rischi di scripting tra siti. La patch è disponibile per Community Edition 1.4 e versioni successive e fa parte del codice core di Community Edition 1.9.2.1, che è disponibile per il download oggi. Prima di implementare questa nuova patch di sicurezza, è necessario implementare tutte le patch di sicurezza precedenti. Scarica Community Edition 1.9.2.1 o la patch dalla pagina di download di Community Edition all'indirizzo https://www.magentocommerce.com/products/downloads/magento/
AGGIORNAMENTO 27 OTTOBRE 2015
27 ottobre 2015: New Magento Security Patch ( SUPEE-6788 ) - Installa subito
oggi, stiamo rilasciando una nuova patch ( SUPEE-6788 ) e Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 per risolvere oltre 10 problemi di sicurezza, tra cui esecuzione di codice in modalità remota e perdita di informazioni. Questa patch non è correlata al problema del malware Guruincsite . Assicurati di testare prima la patch in un ambiente di sviluppo, poiché può influire su estensioni e personalizzazioni. Scarica la patch dalla pagina di download della Community Edition / Portale di supporto della Enterprise Edition e scopri di più su http://magento.com/security/patches/supee-6788 .
AGGIORNAMENTO 20 GENNAIO 2016
Importante: nuova patch di sicurezza ( SUPEE-7405 ) e versione - 20/01/2016
Oggi rilasciamo una nuova patch ( SUPEE-7405 ) e Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 per migliorare la sicurezza dei siti Magento . Non ci sono attacchi confermati relativi ai problemi di sicurezza, ma alcune vulnerabilità possono essere potenzialmente sfruttate per accedere alle informazioni dei clienti o assumere sessioni di amministrazione. Puoi scaricare la patch e rilasciarla dalla pagina di download di Community Edition / MyAccount e saperne di più su https://magento.com/security/patches/supee-7405 .
AGGIORNAMENTO FEBBRAIO 23-2016
Sono ora disponibili versioni aggiornate della patch SUPEE7405. Gli aggiornamenti aggiungono supporto per PHP 5.3 e risolvono i problemi con le autorizzazioni per il caricamento dei file, l'unione dei carrelli e le API SOAP riscontrate con la versione originale. NON affrontano nuovi problemi di sicurezza. Puoi scaricare la patch e rilasciarla dalla pagina di download di Community Edition / MyAccount e saperne di più su https://magento.com/security/patches/supee-7405 .
__PATCHFILE_FOLLOWS__
. Ciò significa che è possibile copiare questo contenuto dal file e aggiungerlo in un nuovo file con .patch
estensione. Quindi basta usare git apply
per applicarlo.
curl
owget
- Un po 'sciocco che devi accedere alla pagina di download, scaricare il file, FTP il file sul sito, quindi applicarlo.