Promemoria critico: scarica e installa le patch di sicurezza di Magento. (FTP senza accesso SSH)


50

Le patch di sicurezza di Magento sembrano .shfile, come potrebbero applicarle senza l'accesso SSH alle loro installazioni di Magento?

Inoltre, queste patch sono cumulative? IE: Saranno inclusi nella versione futura di Magento o dovranno essere riapplicati?

Sto ponendo questa domanda perché ho effettuato l'accesso al mio pannello di amministrazione e ho ricevuto un avviso di sicurezza critico:

Scarica e implementa 2 importanti patch di sicurezza ( SUPEE-5344 e SUPEE-1533 ) dalla pagina di download di Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ).

Se non lo hai già fatto, scarica e installa 2 patch rilasciate in precedenza che impediscono a un utente malintenzionato di eseguire in remoto codice sul software Magento. Questi problemi riguardano tutte le versioni di Magento Community Edition.

Un comunicato stampa di Check Point Software Technologies nei prossimi giorni renderà ampiamente noto uno di questi problemi, avvertendo probabilmente gli hacker che potrebbero tentare di sfruttarlo. Accertarsi che le patch siano in atto come misura preventiva prima che il problema sia pubblicizzato.

e questo a partire dal 14 maggio 2015 :

È importante scaricare e installare una nuova patch di sicurezza ( SUPEE-5994 ) dalla pagina di download di Magento Community Edition ( https://www.magentocommerce.com/products/downloads/magento/ ). Si prega di applicare immediatamente questo aggiornamento critico per proteggere il sito dall'esposizione a più vulnerabilità di sicurezza che incidono su tutte le versioni del software Magento Community Edition. Si noti che questa patch deve essere installata in aggiunta alla recente patch di Shoplift (SUPEE-5344).

Ho anche ricevuto la seguente email:

Caro commerciante di Magento,

Per proteggere ulteriormente la piattaforma Magento da potenziali attacchi, stiamo rilasciando una nuova patch (SUPEE-5994) con più correzioni di sicurezza critiche oggi. La patch risolve una serie di problemi, inclusi scenari in cui gli aggressori possono accedere alle informazioni sui clienti. Queste vulnerabilità sono state raccolte attraverso il nostro programma di sicurezza multipunto e non abbiamo ricevuto segnalazioni di problemi relativi ai commercianti o ai loro clienti.

Tutte le versioni del software Magento Community Edition sono interessate e ti consigliamo vivamente di collaborare con il tuo Solution Partner o lo sviluppatore per distribuire immediatamente questa patch critica. Si noti che questa patch deve essere installata in aggiunta alla recente patch di Shoplift (SUPEE-5344). Ulteriori informazioni sui problemi di sicurezza sono disponibili nell'appendice del manuale dell'utente di Magento Community Edition.

È possibile scaricare la patch dalla pagina di download della Community Edition. Cerca la patch SUPEE-5994. La patch è disponibile per Community Edition 1.4.1– 1.9.1.1.

Assicurarsi di implementare e testare la patch in un ambiente di sviluppo per confermare che funzioni come previsto prima di distribuirla in un sito di produzione. Le informazioni sull'installazione di patch su Magento Community Edition sono disponibili online.

Grazie per l'attenzione su questo problema.

AGGIORNAMENTO 7 LUGLIO 2015

7 luglio 2015: Nuova patch di sicurezza Magento ( SUPEE-6285 ) - Installa immediatamente
Oggi stiamo fornendo una nuova patch di sicurezza ( SUPEE-6285 ) che risolve le vulnerabilità di sicurezza critiche. La patch è disponibile per Community Edition da 1.4.1 a 1.9.1.1 e fa parte del codice centrale della nostra ultima versione, Community Edition 1.9.2, disponibile per il download oggi. NOTA: è necessario prima implementare SUPEE-5994 per assicurarsi che SUPEE-6285 funzioni correttamente. Scarica Community Edition 1.9.2 o la patch dalla pagina di download di Community Edition: https://www.magentocommerce.com/products/downloads/magento/

AGGIORNAMENTO 4 AGOSTO 2015

4 agosto 2015: Nuova patch di sicurezza Magento ( SUPEE-6482 ) - Installa subito
Oggi stiamo fornendo una nuova patch di sicurezza ( SUPEE-6482 ) che risolve 4 problemi di sicurezza; due problemi relativi alle API e due rischi di scripting tra siti. La patch è disponibile per Community Edition 1.4 e versioni successive e fa parte del codice core di Community Edition 1.9.2.1, che è disponibile per il download oggi. Prima di implementare questa nuova patch di sicurezza, è necessario implementare tutte le patch di sicurezza precedenti. Scarica Community Edition 1.9.2.1 o la patch dalla pagina di download di Community Edition all'indirizzo https://www.magentocommerce.com/products/downloads/magento/

AGGIORNAMENTO 27 OTTOBRE 2015

27 ottobre 2015: New Magento Security Patch ( SUPEE-6788 ) - Installa subito
oggi, stiamo rilasciando una nuova patch ( SUPEE-6788 ) e Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 per risolvere oltre 10 problemi di sicurezza, tra cui esecuzione di codice in modalità remota e perdita di informazioni. Questa patch non è correlata al problema del malware Guruincsite . Assicurati di testare prima la patch in un ambiente di sviluppo, poiché può influire su estensioni e personalizzazioni. Scarica la patch dalla pagina di download della Community Edition / Portale di supporto della Enterprise Edition e scopri di più su http://magento.com/security/patches/supee-6788 .

AGGIORNAMENTO 20 GENNAIO 2016

Importante: nuova patch di sicurezza ( SUPEE-7405 ) e versione - 20/01/2016
Oggi rilasciamo una nuova patch ( SUPEE-7405 ) e Community Edition 1.9.2.3 / Enterprise Edition 1.14.2.3 per migliorare la sicurezza dei siti Magento . Non ci sono attacchi confermati relativi ai problemi di sicurezza, ma alcune vulnerabilità possono essere potenzialmente sfruttate per accedere alle informazioni dei clienti o assumere sessioni di amministrazione. Puoi scaricare la patch e rilasciarla dalla pagina di download di Community Edition / MyAccount e saperne di più su https://magento.com/security/patches/supee-7405 .

AGGIORNAMENTO FEBBRAIO 23-2016

Sono ora disponibili versioni aggiornate della patch SUPEE7405. Gli aggiornamenti aggiungono supporto per PHP 5.3 e risolvono i problemi con le autorizzazioni per il caricamento dei file, l'unione dei carrelli e le API SOAP riscontrate con la versione originale. NON affrontano nuovi problemi di sicurezza. Puoi scaricare la patch e rilasciarla dalla pagina di download di Community Edition / MyAccount e saperne di più su https://magento.com/security/patches/supee-7405 .


4
Interessante anche il fatto che utilizzino uno script di shell per applicare la patch, ma non offrono alcun URL da utilizzare per curlo wget- Un po 'sciocco che devi accedere alla pagina di download, scaricare il file, FTP il file sul sito, quindi applicarlo.
pspahn,

5
Vedi anche: byte.nl/wiki/How_to_apply_Magento_patch_SUPEE-5344 e controlla se tutto è stato risolto qui: shoplift.byte.nl
Jeroen,

6
Vale la pena notare che le patch contengono tutte una patch git standard sotto la linea __PATCHFILE_FOLLOWS__. Ciò significa che è possibile copiare questo contenuto dal file e aggiungerlo in un nuovo file con .patchestensione. Quindi basta usare git applyper applicarlo.
Jonathan Hussey,

Ciao, è possibile che più di un file patch venga installato in Magento ..?
VijayS91,

Risposte:


35

Applicazione manuale di patch senza accesso SSH

Hai un buon punto qui. Le patch sono fornite come .shfile e non esiste una soluzione offerta da Magento per i siti Web solo FTP.

Suggerisco di copiare il codice del suo sito Web in un ambiente locale tramite FTP (probabilmente lo avresti già). Quindi applicare la patch eseguendo il .shfile.

Ora devi scoprire quali file devi caricare di nuovo. Se .shaprissi il file patch, vedrai che si compone di due sezioni:

  1. Bash codice shell per applicare la patch. Questo codice è generale per ogni patch.
  2. La patch effettiva sotto forma di un formato patch unificato . Ciò indica solo le righe nei file che sono state modificate (incluse alcune righe di contesto). Questo inizia sotto la linea__PATCHFILE_FOLLOWS__

Dalla seconda sezione è possibile leggere quali file sono stati / sono interessati dalla patch. Devi caricare di nuovo questi file sul tuo FTP o ... potresti semplicemente caricare tutto.

Applicare manualmente senza bash / shell

  1. Se non è possibile eseguire .shfile (in Windows), è possibile estrarre la seconda sezione della patch (la patch unificata ) e applicarla manualmente con uno strumento di patch (o ad esempio tramite PHPStorm ).
  2. Il sito Web Magentary.com fornisce file ZIP per ogni versione di Magento contenente solo i file con patch.

Patch nelle versioni attuali e future?

Le patch rilasciate ora si applicano a tutte le versioni che sono già state rilasciate. Certo, Magento potrebbe rilasciare una nuova versione (maggiore o minore). Quindi conterranno tutte le patch di sicurezza poiché Magento applicherà naturalmente anche le patch alla loro base di codice di sviluppo (queste patch provengono anche da quella base di codice;)).

AGGIORNAMENTO :
Ogni ultima patch Magento ha anche rilasciato nuove versioni di Magento CE ed EE che contengono già l'ultima patch specifica. Vedi la scheda Archivio di rilascio nella pagina di download di Magento .

Controlla questo foglio, gestito da JH, per quali patch installare per quale versione di Magento CE ed EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M


Ciao, è possibile che più di un file patch venga installato in Magento ..?
VijayS91,

grazie @ 7ochem, ha funzionato per me +1 dalla mia parte ......
Baby in Magento,

2
o usa gli aggiornamenti automatici con il pacchetto compositore github.com/firegento/magento
Aleksey Razbakov

6
il compositore non dovrebbe mai trovarsi sul server di produzione. prima esegui compositore, ottieni i file aggiornati, quindi carica i file modificati. il livello 2 è farlo con jenkins.
Aleksey Razbakov,

2
Vero ... Costruisci e distribuisci ... Tuttavia, quando usi FTP, probabilmente non ti piacciono. Sarebbe in linea di massima spiegarlo pienamente anche in questa risposta. Come impostarlo e come caricare solo i file modificati / aggiunti / eliminati (versioni e cose diverse).
7

24

Sfortunatamente, non esiste un modo "semplice" per installare queste patch senza accesso alla shell, ma ci sono due modi per farlo.

Installa patch tramite PHP

  1. Utilizzare un client FTP per caricare la patch specifica nella cartella principale della cartella Magento.
  2. Crea un file PHP chiamato applypatch.php che eseguirà la patch per te e caricalo nella cartella principale della tua cartella Magento. Assicurati di usare il nome della patch giusto qui, se non usi la patch per la versione 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>

  1. Visita il file all'indirizzo http://your.domain.com/applypatch.php e controlla se l'output ha l'aspetto previsto.

Installa la patch manualmente

Il file .sh contiene una patch 'DIFF'. Questi mostrano quali linee sono state rimosse e aggiunte. Anche se non lo consiglio, dovresti essere in grado di scaricare manualmente i file tramite FTP e modificarli nel tuo editor preferito, quindi ricaricarli nuovamente tramite FTP. Il formato non è troppo difficile da interpretare , quindi puoi farlo per tutti i file e non dovresti impiegare più di qualche minuto.


3
Se una patch viene "applicata" semplicemente modificando i file necessari nelle nuove versioni, i tentativi futuri di patch notificheranno correttamente all'utente che è già stata patchata?
pspahn,

4
Sembra che almeno per SUPEE-5344 e SUPEE-1533, ci sia una sorta di registro scritto in app / etc / applied.patches.list. Fornisce informazioni generali su ciò che la patch ha effettivamente fatto. Ho fatto un grep per riferimento a questo file nella base di codice di Magento, ma non ha restituito nulla che potrebbe significare che potrebbe non esserci alcuna logica per il tracciamento delle patch applicate. NOTA LATERALE: le patch sembrano essere indistinguibili dagli hack principali: magento.stackexchange.com/questions/26335/patch-or-core-hack
sparecycle

4
Questo metodo richiede che il server web abbia accesso in scrittura ai file. Se usi questo metodo assicurati ASSOLUTAMENTE di cambiare i permessi in modo che fossero in modo che il web server non possa scrivere sui file oltre a / media e / var
Kevin Schroeder,

Dice "ERRORE:" / app / etc / "deve esistere per un corretto lavoro degli strumenti". , per favore aiutate
Tahir Yasin,

3

Nel mio caso uso bitbucket per la versione Maintenance e apporto le mie modifiche solo tramite bitBucket.

Quindi quello che faccio quando applico le patch è, applica quella patch nel mio sistema locale e testare tutto. che il mio sito Web funzioni.

e spingere tutti i chnages su bitbucket e sul sito live estrarre tutte le modifiche e la mia patch viene applicata.

Nel caso in cui ciò che fai se non hai accesso ssh è

1) Applica la patch in locale e invia le modifiche a bitbucket. Bitbucket ti dice quali file sono stati modificati dall'ultimo commit.

2) carica manualmente quel file via FTP e la tua patch viene applicata.


2

Applicazione di patch Magento tramite FTP / sFTP o FileManager / Caricamento file.

Metodo 1: -

Per applicare le patch in questo modo, sostituiamo semplicemente i file modificati. In questo modo non può essere utilizzato alla cieca se tu o i tuoi sviluppatori avete modificato qualsiasi file Magento di base (il che è un grande no-no, comunque). Tali modifiche dovrebbero essere riapplicate ai file patchati o si perdono queste modifiche.

si prega di visitare gli URL seguenti per scaricare le seguenti patch: -

https://magentary.com/kb/install-supee-9652-without-ssh/

https://magentary.com/kb/install-supee-8788-without-ssh/

https://magentary.com/kb/install-supee-7405-without-ssh/

https://magentary.com/kb/install-supee-6788-without-ssh/

http://magentary.com/kb/install-supee-6482-without-ssh/

http://magentary.com/kb/install-supee-6285-without-ssh/

https://magentary.com/kb/install-supee-5994-without-ssh/

https://magentary.com/kb/apply-supee-5344-and-supee-1533-without-ssh/

Metodo 2: -

Scarica il file patch su https://magento.com/tech-resources/download#download1972 Carica i file patch nella directory principale di magento.

Crea un file con il nome di patch.php, scrivi il seguente codice,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Esegui patch.php dal browser.

Se ricevi un errore del genere,

"Errore! Alcuni strumenti di sistema richiesti, che sono utilizzati in questo script sh, non sono installati; la" patch "degli strumenti è (mancata), per favore installala (loro).

Ciò significa che gli strumenti di sistema non sono installati nel tuo server per eseguire lo script sh.


-2

Non credo sia possibile farlo senza l'accesso SSH ma puoi sempre creare un account SSH sul pannello o su qualsiasi altro pannello che hai e c'è un'enorme possibilità che potresti trovare i tutorial per creare un account SSH dal tuo hosting La società ha appena google la "società che ospita il tuo nome + creazione ssh".


-3

Scarica le patch (in realtà solo 1, dato che 1 è per EE e l'altro per CE) Suggerisci di tornare indietro prima ....

cp -r backup public_html (sostituisci public_html con installazione magento completa)

FTP prima la patch nella directory di backup e verificare tutto ok eseguendolo sul backup .. sh patchname.sh

Tutto ok? FTP la patch per l'installazione e l'esecuzione effettive

http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

la guida consiglia inoltre di "Riapplicare la proprietà ai file modificati dalla patch: Trova l'utente del server Web: ps -o" comando gruppo utenti "-C httpd, apache2 Il valore nella colonna USER è il nome utente del server Web. In genere, l'utente del server Web Apache su CentOS è apache e l'utente del server Web Apache su Ubuntu è www-data. Come utente con privilegi di root, immettere il seguente comando dalla directory di installazione di Magento: chown -R web-server-user-name. Ad esempio, su Ubuntu dove Apache di solito funziona come www-data, inserisci chown -R www-data "

eseguendo il comando ps come root, ho ricevuto solo root come utente e ho eseguito chown -R root e ho incagliato la mia installazione, l'ho eseguito di nuovo con il nome utente dell'account utente su cui è installato e tutto andava bene


ho anche usato questo script php per ripulire i permessi dei file .. magenmarket.com/news-and-blog/…
Accogliente

3
Stai suggerendo di eseguire una serie di comandi, suppongo su SSH. La domanda del PO è "come fare questo senza SSH?" ...
7

OHP! Chiedo scusa! Il mio errore
accogliente il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.