Patch di sicurezza SUPEE-7405 - Possibili problemi?

140

È tempo di un altro giorno di patch, SUPEE-7405 per Magento 1.x è uscito e l'elenco delle correzioni è lungo: https://magento.com/security/patches/supee-7405

Dopo l'esperienza con le ultime patch, devo chiedere di nuovo: quali sono i possibili problemi durante l'applicazione della patch e cosa devo considerare?

Molti problemi XSS sono stati nuovamente risolti, quindi mi aspetto di correggere manualmente i temi personalizzati. Qualunque altra cosa? Ci sono modifiche incompatibili all'indietro?

— Fabian Schmengler
fonte

2

GG non può battere un'altra patch

— Bobadevv,

6

Un problema che abbiamo riscontrato oggi quando abbiamo patchato la nostra versione (EE 1.14.0.1. ...) SUPEE-7405 Ha causato la visualizzazione vuota / interrotta della schermata Dettagli ordine amministratore. La coda degli ordini è visibile ma facendo clic su qualsiasi ordine viene restituita una pagina dei dettagli dell'ordine non funzionante. Non l'abbiamo scoperto fino a quando non l'abbiamo messo in produzione. - In attesa di risposta dal supporto Magento.

— Moonman67,

6

Inoltre ho appena scoperto che il nostro URL API SOAP (/index.php/api/v2_soap/index/?wsdl=1) sta generando un errore 500. Se ti affidi a SOAP come faccio io ... NON installare la patch fino a quando non viene risolto

— Moonman67

4

I file caricati tramite il pannello di amministrazione (ovvero il caricamento dell'immagine del prodotto) non sono ora leggibili in tutto il mondo per impostazione predefinita (0640). Le directory non sono inoltre eseguibili in tutto il mondo (0750). Ciò può causare problemi con le immagini che non compaiono sul sito Web se il server web viene eseguito come utente diverso da php (ovvero php-fpm come utente, server web come nessuno per i file statici).

— Rob Mangiafico,

3

- tutte le patch precedenti devono essere applicate (e se non le hai ancora applicate, in particolare quella di Shoplift, puoi presumere che il tuo negozio sia già stato violato - verifica la presenza di amministratori sconosciuti, codice strano ecc.) - la pagina dell'ordine potrebbe essere rotta su PHP 5.3 - il codice utilizza l'istruzione PHP 5.4.

— Piotr Kaminski,

156

Aggiornamento del 23 febbraio 2016 : la patch è stata aggiornata alla V1.1, che risolve una serie di importanti problemi elencati in questo post, ecco l'elenco:

Cart Merge Patch (SUPEE-7978) : i carrelli con oggetti identici ora si uniscono correttamente. In precedenza, quando un carrello con un articolo veniva unito a un altro carrello che conteneva lo stesso articolo, Magento non univa i totali del carrello correttamente. Il carrello ora include solo un articolo e il totale è corretto.
Patch API SOAP (SUPEE-7822) : L'API SOAP Magento ora funziona come previsto. Precedentemente dopo l'installazione della patch SUPEE-7405 v1.0, una richiesta API avrebbe causato un errore 500 e Magento avrebbe registrato un'eccezione.
Compatibilità con PHP 5.3 (SUPEE-7882) : la patch non era compatibile con PHP 5.3 per le versioni precedenti di Magento che supportavano ancora questa versione. I commercianti che hanno riscontrato questo problema non sono stati in grado di visualizzare le informazioni sulle vendite nell'amministratore.
Autorizzazioni per il caricamento dei file : la patch ripristina le autorizzazioni dei file meno restrittive (0666 per i file e 0777 per le directory) poiché le autorizzazioni più rigide introdotte dalla patch SUPEE-7405 originale hanno impedito a molti commercianti di non essere in grado di visualizzare le immagini dei prodotti caricate, a seconda della configurazione del provider di hosting .

Dopo aver scavato nella patch, ecco le cose rilevanti / interessanti che ho trovato (NB: questo elenco è stato creato analizzando la patch per CE 1.9.2.0-1.9.2.2, probabilmente c'è di più per le patch che interessano le versioni precedenti di Magento) :

(risolto in V1.1 della patch) ~~L'uso di al []posto di array()in questa patch lo rende retrocompatibile con PHP <5.4 (vedere i problemi noti di seguito)~~
Come detto, la maggior parte delle modifiche sono l'escape HTML e la sanificazione dei dati relativi ai problemi XSS.
La convalida della chiave del modulo è stata aggiunta al login amministratore inMage_Admin_Model_Observer
La convalida della chiave del modulo è stata aggiunta alla password dimenticata dall'amministratore inMage_Adminhtml_IndexController
La convalida della chiave del modulo è stata aggiunta alla password di reimpostazione dell'amministratore inMage_Adminhtml_IndexController
La convalida della chiave del modulo è stata aggiunta all'azione di eliminazione del carrello frontend . La chiave del modulo viene aggiunta a getDeleteUrldi Mage_Checkout_Block_Cart_Item_Renderere convalidata in deleteActiondi Mage_Checkout_CartController.
Gli eventi vengono ora spediti in minuscolo (tutti i file di configurazione interessati sono stati modificati, ad esempio controller_action_postdispatch_checkout_onepage_saveOrderdiventa controller_action_postdispatch_checkout_onepage_saveorder). Questo non influenza la configurazione osservatori locali . Maggiori informazioni qui: https://twitter.com/foomanNZ/status/689924329065164800
È stato aggiunto un nuovo validatore per verificare se un file caricato è un'immagine :Mage_Core_Model_File_Validator_Image
Viene visualizzata una nuova sezione di importazione / esportazione :System => Configuration =>Advanced > System => Escape CSV Fields
Nuovo evento inviato:admin_user_validate sottoMage_Admin_Model_User
SVG non è più un'estensione favicon valida
Per coloro che usano Authorizenet (io no) sembra che siano state apportate alcune modifiche, non sono sicuro di come abbia un impatto sul sistema. Le modifiche includono un nuovo helper admin ( Mage_Authorizenet_Helper_Admin) utilizzato per ottenere l'URL dell'ordine di successo.
Nuova classe Zend:Zend_Xml_Security . Il suo scopo è scansionare la stringa XML per potenziali attacchi XXE e XEE. Tuttavia non ho trovato alcun riferimento ad esso negli altri file modificati.
I file caricati tramite il pannello di amministrazione (ovvero il caricamento dell'immagine del prodotto) non sono ora leggibili in tutto il mondo per impostazione predefinita (prima: 777 / dopo: 640).
Le directory non sono inoltre eseguibili in tutto il mondo (prima di 755 / dopo: 750). Questi due possono causare problemi con le immagini che non compaiono sul sito Web se il server web viene eseguito come un utente diverso da php (crediti: @Rob Mangiafico)
Per quanto riguarda i modelli di frontend : le uniche modifiche apportate sono l'escaping dei dati , che non sono interruzioni del sistema ma che è comunque consigliabile implementare sul tema personalizzato (e ci sono solo due file di frontend interessati che non funzionano molto;))

Problemi noti dopo l'applicazione di patch:

Proverò a mantenere questo elenco il più aggiornato possibile.

Prima di iniziare un nuovo problema / domanda, assicurati di aver applicato tutte le patch precedenti poiché sembra che molti problemi provengano da patch mancanti.

Un'altra cosa è: se hai modificato i file core, l'applicazione della patch potrebbe non riuscire. Se stai riscontrando un Hunk # failed aterrore per un file specifico e sei sicuro al 100% di aver applicato tutte le patch precedenti, assicurati di avere il file originale dalla tua versione di Magento controllando il mirror: https://github.com / OpenMage / magento-mirror /

Problema relativo alle sessioni interrotte (con correzione) ( https://magento.stackexchange.com/a/116324/2380 )
Impossibile accedere al back-end dopo la patch : errore "Chiave del modulo non valida". => Svuota i cookie del browser ed elimina i file var / session ( Magento 1.9.2.3. Non accedi a google chrome )
(risolto nella v1.1 della patch) La pagina di visualizzazione dell'ordine di amministrazione è vuota / danneggiata => Relativa all'incompatibilità di PHP <5.4. => La correzione può essere trovata qui: https://magento.stackexchange.com/a/98237/2380 / Ho creato una segnalazione di bug: https://www.magentocommerce.com/bug-tracking/issue/index/ id / 1266 (crediti: @ Moonman67).
(risolto nella v1.1 della patch) L'URL dell'API SOAP /index.php/api/v2_soap/index/?wsdl=1genera un errore 500 => Ho sviluppato una correzione hacky per questo che può essere trovata qui: https://magento.stackexchange.com/a/98790/2380 / Ho anche creato una segnalazione bug per questo: https://www.magentocommerce.com/bug-tracking/issue/index/id/1265 (crediti: @ Moonman67)
(risolto nella v1.1 della patch) ~~Problemi relativi alle autorizzazioni per il caricamento di file~~
Applicazione della patch sulle interruzioni di Magento 1.7.0.0 : https://magento.stackexchange.com/a/98246/2380
Checkout non reindirizzamento alla pagina di successo su HHVM : https://magento.stackexchange.com/a/98334/2380
Costante di classe non definita AREA ADMINHTML in app/code/core/Mage/Core/Model/Config.php(possibilmente solo EE): SUPEE 7405 Enterprise Edition Errore irreversibile Costante di classe non definita 'AREA_ADMINHTML
Chiamata al metodo non definito Mage_Core_Helper_Abstract::escapeHtml()su 1.4.0.1 : errore dopo l'installazione della patch 7405 su Magento 1.4.0.1
La chiave di registro Mage _singleton/Mage_Core_Model_Domainpolicyesiste già in Magento 1.7: errore della patch di sicurezza SUPEE-7405
Chiamata a una funzione membro getUsername () su un non oggetto dopo la patch: Admin Magento generato errore dopo l'applicazione della patch di sicurezza SUPEE 7405
Impossibile aggiungere il blocco delle autorizzazioni dopo la patch su 1.8.1.0 : dopo la patch di sicurezza supee-7405 topmenu non viene visualizzato
(Patch precedente non applicata) Problemi con l'applicazione della patch su 1.7.0.2 : Problemi con la patch di sicurezza SUPEE-7405
(I file core sono stati modificati) Problemi con l'applicazione della patch su 1.8.1 : supee 7405 Hunk # 2 FAILED at 472. Magento 1.8.1
(Relativo al provider) Coda email interrotta dopo la patch : Magento 1.9.2.3 Coda email non funzionante

Elenco dei file interessati

Può essere trovato su questa pagina qui: https://magento.stackexchange.com/a/98232/2380 (credits @MagenX)

Solo EE

Se hai aggiornato da Magento EE 1.14.2.x a Magento EE 1.14.2.3 invece di applicare la patch e hai anche applicato la patch di supporto SUPEE-5984 in precedenza, devi riapplicarla di nuovo perché non è inclusa nella versione . => https://magento.stackexchange.com/a/98805/2380

Per quanto riguarda la patch 7616:

Sembra che le patch 4291 e 6237 debbano essere applicate prima di applicare la patch. Maggiori informazioni qui: applicare la patch 7616_EE 7405_EE non riuscita
(La patch 5344 non era stata applicata) ~~Possibile problema quando si applica 7616 prima dell'applicazione 7405 : SUPEE 7405 - Hunk # 2 non riuscito a 43~~

Buone risorse sulle patch di Magento

Promemoria critico: scarica e installa le patch di sicurezza di Magento. (FTP senza accesso SSH)
Mage Report ha aggiunto un assegno per SUPEE-7405: https://www.magereport.com/

Sentiti libero di farmi sapere se mi manca qualcosa.

— Raffaello al Pianismo digitale
fonte

1

Hai menzionato il mio problema "Possibile problema quando si applica 7616 prima dell'applicazione 7405: SUPEE 7405 - Hunk # 2 Failed at 43" come problema EE, quando sto effettivamente usando CE.

— Liam McArthur,

1

Hai ragione, mio male, l'ho risolto.

— Raffaello al Pianismo digitale,

1

Gli eventi vengono ora spediti in tutte le lettere minuscole : questo significa che dobbiamo controllare / modificare la configurazione degli osservatori locali?

— hellimac,

1

@hellimac Sto per testarlo entro un paio d'ore, aggiornerò il post se influisce sulla configurazione degli osservatori locali.

— Raffaello al Pianismo digitale,

5

@hellimac No, i valori di config.xml vengono convertiti anche in

— lettere

34

Un problema che ho notato è che se il tuo sito utilizza una versione inferiore a PHP 5.4 la patch non è compatibile.

Nella classe Mage_Adminhtml_Helper_Salesattorno al numero di riga 124. Il codice è:

$links = [];

Ho dovuto estendere questo per essere:

        // Patch not compatible with PHP version 5.3: overwrote Magento patch update

        $links = array();

Un altro errore che ho riscontrato sembrava coinvolgere i cookie che avevo impostato. Tuttavia, una volta cancellati i cookie, tutte le pagine sono state caricate correttamente.

Esempio di errore:

Notice: unserialize() [function.unserialize]: Error at offset 0 of 13 bytes  in `/var/www/website/app/code/core/Mage/Core/Helper/Cookie.php` on line 83

Non sono sicuro che qualcun altro abbia riscontrato questi problemi, ma spero che sia d'aiuto!

— Dazari
fonte

1

Ho visto la stessa cosa nel codice che abbiamo patchato. La patch corregge contemporaneamente i bug specifici di PHP 5.3 e interrompe la compatibilità con PHP 5.3.

— Jim OHalloran,

Non proprio una risposta, solo maggiori informazioni: applicare la patch 7405 a un sito Magento 1.5.1 (sì, lo so ...) è stato arduo e, una volta "riuscito", ha causato errori front-end e l'amministratore non era completamente disponibile. Il sito si trova su php v5.3.1 - per fortuna ho potuto ripristinarlo. Ho un'altra installazione v1.9 su php 5.3.3 che sto testando ... mi sento esitante a svuotare la cache ora

— Jon Holland

Posso confermare, Mag 1.9.0.1 su php 5.3.3 cercando di visualizzare un record di ordine in admin è solo un'area di contenuto bianco. La modifica suggerisce di risolvere il problema. Buon posto.

— Jon Holland,

22

Ecco un problema che ho riscontrato durante l'applicazione di patch di Magento CE con SUPEE-7405. Sostituisce la linea:

chmod($destinationFile, 0777);

con:

chmod($destinationFile, 0640);

nel file lib/Varien/File/Uploader.php

Ciò ha interrotto la visualizzazione delle mie immagini nel back-end, poiché l'autorizzazione del file dovrebbe essere effettivamente 644. C'è qualche motivo per cui è stato impostato su 640?

— Liam McArthur
fonte

1

Ho lo stesso problema in Magento ver. L'immagine 1.7.0.2 può essere caricata correttamente ma non viene visualizzata nel backend a causa di un problema di autorizzazione. Se cambio l'autorizzazione da 0640 a 0644, l'immagine può essere visualizzata, che non è la soluzione esatta. Quindi immagino che le persone di magento debbano correggere questo o dare qualsiasi altra soluzione per questo.

— jyotiranjan.in

Presumo che apache / nginx dovrebbe essere configurato per essere nello stesso gruppo in cui php-fpm crea l'immagine, qualcuno conosce le implicazioni di sicurezza di tale?

— Jzahedieh,

È il suPHP che mi sta causando il problema, penso! L'ho disabilitato e abilitato php-cgi invece che ha aumentato la velocità della pagina ma ho ancora il problema con le autorizzazioni. Non sono sicuro delle implicazioni sulla sicurezza, quindi lo sto lasciando. Non voglio aprire falle di sicurezza! Preferirei modificare il file principale!

— Liam McArthur,

3

fondamentalmente il problema è che apache non funziona come lo stesso utente di php. La modifica dell'autorizzazione su 640 significa che i file non sono più leggibili dal mondo. Dovrai assicurarti che apache stia eseguendo lo stesso utente di php. Questo potrebbe essere difficile se il tuo pannello in esecuzione un buon approccio sarebbe impostare il gruppo come nessuno e renderlo appiccicoso, ad esempio:chown USERNAME:nobody -R public_html find ./public_html -type d -exec chmod g+s {} \;

— rob3000

Qualche soluzione a questo?

— Arvind07,

21

Quando si applica per Magento 1.7.0.0 si cerca di rimuovere un commento app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml

-/* @var $_helper Mage_Authorizenet_Helper_Data */

1.7.0.0 - https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.0/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml

che non è stato aggiunto fino all'1.7.0.1 https://raw.githubusercontent.com/OpenMage/magento-mirror/1.7.0.1/app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml

— Rob3000
fonte

Ho appena aggiunto quella riga in if.0.0.0.0 iframe.phtml e ho eseguito di nuovo la patch e ho avuto successo

— Danny Z

1

@DannyZ stessa cosa qui ho pensato che avrei fatto meglio a

— prenderne

19

questi file patchati, puoi vedere ogni possibile impatto:
template: modelli admin per lo più patchati.

+++ app/design/frontend/base/default/template/rss/order/details.phtml
+++ app/design/frontend/base/default/template/catalog/product/view/options/type/file.phtml
+++ app/design/adminhtml/default/default/template/sales/order/view/info.phtml
+++ app/design/adminhtml/default/default/template/sales/order/totals/discount.phtml
+++ app/design/adminhtml/default/default/template/sales/items/renderer/default.phtml
+++ app/design/adminhtml/default/default/template/sales/items/column/name.phtml
+++ app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/name.phtml
+++ app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/invoice/name.phtml
+++ app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/creditmemo/name.phtml
+++ app/design/adminhtml/default/default/template/catalog/product/composite/fieldset/options/type/file.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml
+++ app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml

nucleo / libs:

+++ lib/Varien/Io/File.php
+++ lib/Varien/File/Uploader.php
+++ app/code/core/Zend/Xml/Security.php
+++ app/code/core/Mage/Sales/Model/Quote/Item.php
+++ app/code/core/Mage/Sales/Model/Quote/Address.php
+++ app/code/core/Mage/Sales/Helper/Guest.php
+++ app/code/core/Mage/Rss/Helper/Order.php
+++ app/code/core/Mage/Rss/Block/Catalog/Salesrule.php
+++ app/code/core/Mage/Review/controllers/ProductController.php
+++ app/code/core/Mage/Paypal/controllers/PayflowadvancedController.php
+++ app/code/core/Mage/Paypal/controllers/PayflowController.php
+++ app/code/core/Mage/Newsletter/Model/Queue.php
+++ app/code/core/Mage/Newsletter/Model/Observer.php
+++ app/code/core/Mage/ImportExport/Model/Import/Entity/Abstract.php
+++ app/code/core/Mage/ImportExport/Model/Export/Adapter/Csv.php
+++ app/code/core/Mage/ImportExport/Model/Export/Adapter/Abstract.php
+++ app/code/core/Mage/Downloadable/controllers/CustomerController.php
+++ app/code/core/Mage/Dataflow/Model/Convert/Parser/Csv.php
+++ app/code/core/Mage/Customer/controllers/AccountController.php
+++ app/code/core/Mage/Core/Model/Session.php
+++ app/code/core/Mage/Core/Model/Input/Filter/MaliciousCode.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/Email/Template/Filter.php
+++ app/code/core/Mage/Core/Model/Email/Queue.php
+++ app/code/core/Mage/Core/Model/Config.php
+++ app/code/core/Mage/Core/Model/App.php
+++ app/code/core/Mage/Core/Helper/Data.php
+++ app/code/core/Mage/Checkout/controllers/OnepageController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/Block/Cart/Item/Renderer.php
+++ app/code/core/Mage/CatalogInventory/Helper/Minsaleqty.php
+++ app/code/core/Mage/Catalog/Model/Resource/Product/Attribute/Backend/Image.php
+++ app/code/core/Mage/Catalog/Model/Category/Attribute/Backend/Image.php
+++ app/code/core/Mage/Catalog/Block/Product/View/Options/Type/Select.php
+++ app/code/core/Mage/Authorizenet/controllers/Adminhtml/Authorizenet/Directpost/PaymentController.php
+++ app/code/core/Mage/Authorizenet/Helper/Data.php
+++ app/code/core/Mage/Authorizenet/Helper/Admin.php
+++ app/code/core/Mage/Adminhtml/controllers/IndexController.php
+++ app/code/core/Mage/Adminhtml/Model/System/Config/Backend/Image/Favicon.php
+++ app/code/core/Mage/Adminhtml/Model/System/Config/Backend/Image.php
+++ app/code/core/Mage/Adminhtml/Model/System/Config/Backend/File.php
+++ app/code/core/Mage/Adminhtml/Helper/Sales.php
+++ app/code/core/Mage/Adminhtml/Helper/Catalog/Product/Edit/Action/Attribute.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Grid.php
+++ app/code/core/Mage/Adminhtml/Block/Sales/Order/View/Tab/History.php
+++ app/code/core/Mage/Admin/Model/User.php
+++ app/code/core/Mage/Admin/Model/Resource/User.php
+++ app/code/core/Mage/Admin/Model/Redirectpolicy.php
+++ app/code/core/Mage/Admin/Model/Observer.php

================================================== ======================= ps solo per stare tutti insieme, abbiamo creato un multipatch "senza sforzo" per patchare molti server con più installazioni di magento. multipatch-7405.sh

— MagenX
fonte

Bello! Non riesco a ricordare di aver sovrascritto quei file di temi, quindi la patch .sh può fare la sua cosa: D

— Bobadevv,

1

Ben fatto. Il multipatch è un'ottima idea; Vorrei solo che Magento avesse rilasciato gli hash SHA1 per le loro patch in modo che potessimo verificare che corrispondessero a fonti esterne

— philwinkle

questo può essere semplificato accedendo direttamente al repository web di magento per arricciare tutte le patch, ma abbiamo riscontrato alcuni problemi. e

— devi

14

Ecco il mio piano di test di base:

Applica coupon
Accedi ad admin
Forza l'amministratore a cambiare la password
Esporta un CSV
Importa un CSV
Reimposta password come amministratore e cliente
Crea un ordine in admin
Crea e ordina nel front-end come ospite
Crea e ordina nel front-end come cliente
Aggiungi un'immagine a un prodotto
Crea una nota di credito
Crea una fattura

— Brideo
fonte

come esattamente questo elenco mi aiuterà a capire gli errori causati da questa patch o è solo uno sviluppatore ha le mani curve ???

— MagenX,

@MagenX Non so cosa significhi uno sviluppatore con le mani curve. Ma quando ho diffuso la patch ho fatto un elenco di cose che potrebbero essere problematiche.

— Brideo,

@MagenX quindi dopo aver applicato la patch controllerei quelle aree, scusate se non è stato utile.

— Brideo,

Ah, una suite di test di base per i controlli dopo le patch per assicurarti di trovare il meglio prima che i tuoi clienti e lavoratori lo facciano ... Ha perfettamente senso mentre esercita le aree interessate dai file patchati.

— Fiasco Labs

Questa sarebbe una bella (migliore?) Risposta a questa domanda qui: magento.stackexchange.com/questions/98565/…

— Anna Völkl

10

Si prega di essere consapevoli del problema delle sessioni interrotte recentemente scoperto e risolto (?) Da Colin Mollenhour .

https://gist.github.com/colinmollenhour/5066a3220881a9c0c2dd42fa1593cbff/revisions

— user487772
fonte

9

Se hai aggiornato da Magento EE 1.14.2.x a Magento EE 1.14.2.3 invece di applicare la patch e hai anche applicato la patch di supporto SUPEE-5984 in precedenza, devi riapplicarla di nuovo perché non è inclusa nella versione .

Questa è stata la patch che ha corretto l'indicizzatore non funzionante: errore dell'indice dopo l'aggiornamento a EE 1.14.2.0: tabella catalog_product_entity_tmp_indexer non esiste

— Fabian Schmengler
fonte

8

A partire dal 23 febbraio 2016, Magento ha rilasciato una patch per la patch per risolvere molti di questi problemi: https://magento.com/security/patches/supee-7405

È necessario applicare SUPEE_7405_v1 quindi SUPEE_7405_v1.1 in ordine.

— xifoidea
fonte

8

Schermata per la pagina dei dettagli dell'ordine dell'amministratore, se mostra questo tipo di problema, segui le istruzioni seguenti per me funziona !!

Soluzione

Cambia la riga 124 in app / code / core / Mage / Adminhtml / Helper / Sales.php da $ links = []; a $ links = array ();

— Randhir Yadav
fonte

7

Ogni volta che installiamo una patch per uno dei nostri clienti utilizziamo la seguente lista di controllo:

Effettuare un backup completo dei file e del database del sito.
Assicurarsi che tutte le patch precedenti siano state installate correttamente (possono essere visualizzate nel app/etc/applied.patches.listfile)
Dopo aver installato correttamente la patch, svuota la cache ed esegui un ordine di prova per assicurarti che tutto funzioni.

Immagino che sia davvero tutto ciò che c'è da fare. Le patch sono progettate per essere installate rapidamente e senza problemi. 9 volte su 10 verranno installate perfettamente e per le altre volte abbiamo i backup. Finché non si scherza con i file core, tutto dovrebbe andare bene.

— Gary Olderman
fonte

file probabilmenteapp/etc/applied.patches.list

— MagenX il

3

Non mi sembra che questo risponda alla domanda. L'OP si riferisce a SUPEE-6788 che ha richiesto tonnellate di lavoro manuale in estensioni di terze parti, non come applicare una patch.

— Robbie Averill,

OP si riferisce a SUPEE-6788 Robbie, non 6788.

— Gary Olderman,

Scusate, per chiarire la domanda è ovviamente circa 7405 ma viene chiesto alla luce dell'incubo che era 6788 - è il contesto

— Robbie Averill

6

qui i file interessati per Magento EE

> -e 2016-02-11 03:14:54 UTC | SUPEE-7405-EE-1-14-2-2 | EE_1.14.2.2 | v1 | 91465c744a824111902e2911fd63fd8cb6c32f05 | Tue Jan 19 14:27:03 2016 +0200 | e1fc3c59c9..91465c744a
patching file app/code/core/Enterprise/Checkout/Block/Adminhtml/Manage/Form/Coupon.php
patching file app/code/core/Enterprise/GoogleAnalyticsUniversal/Block/Ga.php
patching file app/code/core/Enterprise/PageCache/etc/config.xml
patching file app/code/core/Enterprise/Pbridge/etc/config.xml
patching file app/code/core/Enterprise/Pci/Model/Observer.php
patching file app/code/core/Enterprise/Pci/Model/Resource/Admin/User.php
patching file app/code/core/Enterprise/Pci/etc/config.xml
patching file app/code/core/Enterprise/Persistent/etc/config.xml
patching file app/code/core/Enterprise/SalesArchive/etc/config.xml
patching file app/code/core/Enterprise/WebsiteRestriction/etc/config.xml
patching file app/code/core/Mage/Admin/Model/Observer.php
patching file app/code/core/Mage/Admin/Model/Redirectpolicy.php
patching file app/code/core/Mage/Admin/Model/Resource/User.php
patching file app/code/core/Mage/Admin/Model/User.php
patching file app/code/core/Mage/Adminhtml/Block/Sales/Order/View/Tab/History.php
patching file app/code/core/Mage/Adminhtml/Block/Widget/Grid.php
patching file app/code/core/Mage/Adminhtml/Helper/Catalog/Product/Edit/Action/Attribute.php
patching file app/code/core/Mage/Adminhtml/Helper/Sales.php
patching file app/code/core/Mage/Adminhtml/Model/System/Config/Backend/File.php
patching file app/code/core/Mage/Adminhtml/Model/System/Config/Backend/Image.php
patching file app/code/core/Mage/Adminhtml/Model/System/Config/Backend/Image/Favicon.php
patching file app/code/core/Mage/Adminhtml/controllers/IndexController.php
patching file app/code/core/Mage/Authorizenet/Helper/Admin.php
patching file app/code/core/Mage/Authorizenet/Helper/Data.php
patching file app/code/core/Mage/Authorizenet/controllers/Adminhtml/Authorizenet/Directpost/PaymentController.php
patching file app/code/core/Mage/Captcha/etc/config.xml
patching file app/code/core/Mage/Catalog/Block/Product/View/Options/Type/Select.php
patching file app/code/core/Mage/Catalog/Model/Category/Attribute/Backend/Image.php
patching file app/code/core/Mage/Catalog/Model/Resource/Product/Attribute/Backend/Image.php
patching file app/code/core/Mage/CatalogIndex/etc/config.xml
patching file app/code/core/Mage/CatalogInventory/Helper/Minsaleqty.php
patching file app/code/core/Mage/Checkout/Block/Cart/Item/Renderer.php
patching file app/code/core/Mage/Checkout/controllers/CartController.php
patching file app/code/core/Mage/Checkout/controllers/OnepageController.php
patching file app/code/core/Mage/Core/Helper/Data.php
patching file app/code/core/Mage/Core/Model/App.php
patching file app/code/core/Mage/Core/Model/Config.php
patching file app/code/core/Mage/Core/Model/Email/Queue.php
patching file app/code/core/Mage/Core/Model/Email/Template/Filter.php
patching file app/code/core/Mage/Core/Model/File/Validator/Image.php
patching file app/code/core/Mage/Core/Model/Input/Filter/MaliciousCode.php
patching file app/code/core/Mage/Core/Model/Session.php
patching file app/code/core/Mage/Customer/controllers/AccountController.php
patching file app/code/core/Mage/Dataflow/Model/Convert/Parser/Csv.php
patching file app/code/core/Mage/Downloadable/controllers/CustomerController.php
patching file app/code/core/Mage/ImportExport/Model/Export/Adapter/Abstract.php
patching file app/code/core/Mage/ImportExport/Model/Export/Adapter/Csv.php
patching file app/code/core/Mage/ImportExport/Model/Import/Entity/Abstract.php
patching file app/code/core/Mage/ImportExport/etc/config.xml
patching file app/code/core/Mage/ImportExport/etc/system.xml
patching file app/code/core/Mage/Newsletter/Model/Observer.php
patching file app/code/core/Mage/Newsletter/Model/Queue.php
patching file app/code/core/Mage/Page/etc/system.xml
patching file app/code/core/Mage/Paypal/controllers/PayflowController.php
patching file app/code/core/Mage/Paypal/controllers/PayflowadvancedController.php
patching file app/code/core/Mage/Paypal/etc/config.xml
patching file app/code/core/Mage/Persistent/etc/config.xml
patching file app/code/core/Mage/Review/controllers/ProductController.php
patching file app/code/core/Mage/Rss/Block/Catalog/Salesrule.php
patching file app/code/core/Mage/Rss/Helper/Order.php
patching file app/code/core/Mage/Sales/Helper/Guest.php
patching file app/code/core/Mage/Sales/Model/Quote/Address.php
patching file app/code/core/Mage/Sales/Model/Quote/Item.php
patching file app/code/core/Zend/Xml/Security.php
patching file app/design/adminhtml/default/default/template/authorizenet/directpost/iframe.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/creditmemo/create/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/creditmemo/view/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/invoice/create/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/invoice/view/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/order/view/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/shipment/create/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/bundle/sales/shipment/view/items/renderer.phtml
patching file app/design/adminhtml/default/default/template/catalog/product/composite/fieldset/options/type/file.phtml
patching file app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/creditmemo/name.phtml
patching file app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/invoice/name.phtml
patching file app/design/adminhtml/default/default/template/downloadable/sales/items/column/downloadable/name.phtml
patching file app/design/adminhtml/default/default/template/enterprise/checkout/form/coupon.phtml
patching file app/design/adminhtml/default/default/template/sales/items/column/name.phtml
patching file app/design/adminhtml/default/default/template/sales/items/renderer/default.phtml
patching file app/design/adminhtml/default/default/template/sales/order/totals/discount.phtml
patching file app/design/adminhtml/default/default/template/sales/order/view/info.phtml
patching file app/design/frontend/base/default/template/catalog/product/view/options/type/file.phtml
patching file app/design/frontend/base/default/template/rss/order/details.phtml
patching file lib/Varien/File/Uploader.php
patching file lib/Varien/Io/File.php

— Ansyori
fonte

5

Dopo aver applicato il SUPEE-7405 su Magento 1.14.1.0 ho ricevuto l'errore:

Fatal error: Cannot redeclare Mage_Core_Controller_Varien_Router_Admin::_validateControllerInstance() in app/code/core/Mage/Core/Controller/Varien/Router/Admin.php on line 173

Il problema è stato causato dal metodo ri-dichiarato _validateControllerInstance in

app/code/core/Mage/Core/Controller/Varien/Router/Admin.php on line 173

Dopo aver rimosso la seconda (stessa) dichiarazione di funzione, il problema è stato risolto.

— vladPavlov
fonte

5

Ho ricevuto il seguente errore dopo aver installato la patch SUPEE-7405 quando provavo ad accedere all'amministratore.

Errore irreversibile: chiamata al metodo indefinito Mage_Core_Controller_Response_Http :: sendHeadersAndExit () in
\ app \ code \ core \ Mage \ Admin \ Model \ Session.php sulla linea 135

perché ho avuto questo file sovrascritto nel pool di codici locali che non ha un sendHeadersAndExit metodo creato da questa patch.

\app\code\local\Mage\Core\Controller\Response\Http.php il seguente metodo non esiste. (Questo è un nuovo metodo aggiunto al file principale)

  /**
     * Method send already collected headers and exit from script
     */
    public function sendHeadersAndExit()
    {
        $this->sendHeaders();
        exit;
    }

Dopo aver aggiunto questo al problema del file sovrascritto è andato via.

— Mukesh
fonte

3

Uno dei problemi che ho riscontrato durante l'utilizzo di SUPEE-7405 è rappresentato dai bug di caricamento delle immagini

Pertanto, controllo le modifiche in questo file: lib / Varien / File / Uploader.php

diff --git lib / Varien / File / Uploader.php lib / Varien / File / Uploader.php
---
---
- chmod ($ destinationFile, 0777);
+ chmod ($ destinationFile, 0640);
---
---
- if (! (@ is_dir ($ destinationFolder) || @mkdir ($ destinationFolder, 0777, true))) {
+ if (! (@ is_dir ($ destinationFolder) || @mkdir ($ destinationFolder, 0750, true))) {

Quindi, ho scoperto due modi per superarlo:

Opzione 1:

Eseguo una modifica manuale sul file lib / Varien / File / Uploader.php per regolare le autorizzazioni 0640/0750.

Opzione 2: poiché Magento prevede che il server web sia proprietario dei file del sito:

http://devdocs.magento.com/guides/m1x/install/installer-privileges_after.html#privs-after

L'altro modo per risolvere il problema è rendere il server web il proprietario dei file

chown -R web-server-nome-utente magento / root / percorso

Il nome utente del server web è comunemente www-data o apache.

— Jameslj
fonte