Важное напоминание: Загрузите и установите исправления безопасности Magento. (FTP без доступа SSH)

Исправления безопасности Magento выглядят так, как будто они являются файлами .sh, как бы кто-то применил эти исправления без доступа SSH к своим установкам Magento?

Кроме того, являются ли эти исправления кумулятивными? Т.Е.: Будут ли они включены в будущую версию Magento или их нужно будет применить повторно?

Я задаю этот вопрос, потому что я вошел в свою панель администратора и получил критическое предупреждение о безопасности:

Загрузите и внедрите 2 важных средства безопасности исправления (SUPEE-5344 и SUPEE-1533) со страницы загрузки издания сообщества Magento (https://www.magentocommerce.com/products/downloads/magento/).

Если вы еще этого не сделали, загрузите и установите 2 ранее выпущенных исправления, которые не позволяют злоумышленнику удаленно выполнять код в программном обеспечении Magento. Эти проблемы затрагивают все версии Magento Community Edition.

Пресс-релиз компании Check Point Software Technologies в в ближайшие дни одна из этих проблем станет широко известна, возможно, предупредив хакеров, которые могут попытаться ее использовать. Убедитесь, что исправления установлены в качестве превентивной меры, прежде чем проблема будет опубликована.

И это по состоянию на Может 14, 2015:

Для вас важно загрузить и установить новое исправление безопасности (SUPEE-5994) со страницы загрузки Magento Community Edition (https://www.magentocommerce.com/products/downloads/magento /). Пожалуйста, немедленно установите это критическое обновление, чтобы защитить ваш сайт от многочисленных уязвимостей системы безопасности, влияющих на все версии программного обеспечения Magento Community Edition. Пожалуйста, обратите внимание, что этот патч должен быть установлен в дополнение к недавнему патчу для кражи в магазине (SUPEE-5344).

Я также получил следующее электронное письмо:

Уважаемый продавец Magento,

Для дальнейшей защиты платформы Magento от потенциальных атак мы выпускаем новый патч (SUPEE-5994) с несколькими критическими исправлениями безопасности сегодня. Исправление устраняет ряд проблем, включая сценарии, в которых злоумышленники могут получить доступ к информации о клиентах. Эти уязвимости были собраны с помощью нашей многоточечной программы безопасности, и мы не получали сообщений о том, что эти проблемы затрагивают продавцов или их клиентов.

Затронуты все версии программного обеспечения Magento Community Edition, и мы настоятельно рекомендуем вам работать с вашим партнером по решению или разработчику необходимо немедленно развернуть это критическое исправление. Пожалуйста, обратите внимание, что этот патч должен быть установлен в дополнение к недавнему патчу для кражи в магазине (SUPEE-5344). Более подробная информация о проблемах безопасности доступна в приложении к руководству пользователя Magento Community Edition.

Вы можете загрузить исправление со страницы загрузки издания сообщества. Ищите патч SUPEE-5994. Исправление доступно для версии сообщества 1.4.1–1.9.1.1.

Обязательно внедрите и протестируйте сначала исправьте в среде разработки, чтобы убедиться, что она работает должным образом, прежде чем развертывать ее на рабочем сайте. Информация об установке исправлений в Magento Community Edition доступна в Интернете.

Спасибо за ваше внимание к этому вопросу.

ОБНОВЛЕНИЕ ЗА ИЮЛЬ 7 - 2015

7 июля 2015 года: Новое исправление безопасности Magento (SUPEE-6285) – Установить немедленно
Сегодня мы предоставляем новое исправление безопасности (SUPEE-6285), который устраняет критические уязвимости в системе безопасности. Исправление доступно для версии сообщества 1.4.1-1.9.1.1 и является частью основного кода нашей последней версии, версии сообщества 1.9.2, доступной для загрузки сегодня. ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: Вы должны сначала реализовать SUPEE-5994, чтобы убедиться, что SUPEE-6285 работает правильно. Загрузите Community Edition 1.9.2 или исправление со страницы загрузки Community Edition: https://www.magentocommerce.com/products/downloads/magento/

ОБНОВЛЕНИЕ АВГУСТ 4 - 2015

4 августа 2015: Новое исправление безопасности Magento (SUPEE-6482) – Установить немедленно
Сегодня мы предоставляем новое исправление безопасности (SUPEE-6482), которое решает 4 проблемы безопасности; две проблемы, связанные с API-интерфейсами и двумя рисками межсайтовых сценариев. Исправление доступно для версии сообщества 1.4 и более поздних версий и является частью ядра код версии сообщества 1.9.2.1, который доступен для загрузки сегодня. Перед внедрением этого нового исправления безопасности необходимо сначала внедрить все предыдущие исправления безопасности. Загрузите Community Edition 1.9.2.1 или исправление со страницы загрузки Community Edition по адресу https://www.magentocommerce.com/products/downloads/magento/

ОБНОВЛЕНИЕ В ОКТЯБРЕ 27 - 2015

27 октября 2015: Новое исправление безопасности Magento (SUPEE-6788) – Установить Немедленно
Сегодня мы выпускаем новый патч (SUPEE-6788) и Community Edition 1.9.2.2/Enterprise Edition 1.14.2.2 для решения более 10 проблем безопасности, включая удаленное выполнение кода и уязвимости утечки информации. Это исправление не связано с проблемой вредоносного ПО Guruincsite. Обязательно сначала протестируйте исправление в среде разработки, так как оно может повлиять на расширения и настройки. Загрузите исправление со страницы загрузки издания сообщества/Enterprise Портал поддержки редакции и узнайте больше на http://magento.com/security/patches/supee-6788.

ОБНОВЛЕНИЕ ЗА ЯНВАРЬ 20 - 2016

Важно: Новое исправление безопасности (SUPEE-7405) и выпуск – 20.06.2016
Сегодня мы выпускаем новый патч (SUPEE-7405) и издание для сообщества 1.9.2.3/ Корпоративная версия 1.14.2.3 для повышения безопасности сайтов Magento. Подтвержденных атак, связанных с безопасностью, нет проблемы, но некоторые уязвимости потенциально могут быть использованы для доступа к информации о клиентах или для управления сеансами администратора. Вы можете загрузить исправление и выпуск со страницы загрузки Community Edition/MyAccount и узнать больше по адресу https://magento.com/security/patches/supee-7405.

ОБНОВЛЕНИЕ ЗА ФЕВРАЛЬ 23 - 2016

Теперь доступны обновленные версии исправления SUPEE7405. Обновления добавляют поддержку PHP 5.3 и устраняют проблемы с загрузкой разрешения на доступ к файлам, объединение тележек и API-интерфейсы SOAP, используемые в оригинальной версии. Они НЕ затрагивают никаких новых проблем безопасности. Вы можете загрузить исправление и выпуск со страницы загрузки Community Edition/MyAccount и узнать больше по адресу https://magento.com/security/patches/supee-7405.

Author: Teja Bhagavan Kollepara, 2015-04-16
Source

6 answers

Применение исправлений вручную без доступа по SSH

Здесь вы правы. Исправления поставляются в виде файлов .sh, и Magento не предлагает решения только для веб-сайтов FTP.

Я предлагаю скопировать код своего веб-сайта в локальную среду через FTP (у вас, вероятно, это уже есть). Затем примените исправление, запустив файл .sh.

Теперь вам нужно узнать, какие файлы вам нужно загрузить снова. Если бы вы открыли файл исправления .sh, затем вы увидите, что он состоит из двух разделов:

  1. Код оболочки Bash для применения исправления. Этот код является общим для каждого патча.
  2. Фактический патч в виде унифицированный формат исправлений. Это указывает только на строки в файлах, которые были изменены (включая некоторые строки контекста). Это начинается ниже строки __PATCHFILE_FOLLOWS__

Из второго раздела вы можете прочитать, какие файлы были/затронуты исправлением. Вам нужно снова загрузить эти файлы в ваш FTP или... вы могли бы просто загрузить все.

Применение вручную без bash/оболочки

  1. Если вы не можете запускать файлы .sh (в Windows), то вы можете извлечь второй раздел исправления (унифицированный патч ) и применить его вручную с помощью инструмента исправления (или, например, через PhpStorm).
  2. Веб-сайт Magentary.com предоставляет ZIP-файлы для каждой версии Magento, содержащие только исправленные файлы.

Исправления в текущих и будущих выпусках?

Исправления, выпущенные прямо сейчас, применяются ко всем уже выпущенным версиям. Конечно, возможно, Magento выпустит новую версию (основную или второстепенную). Затем они будут содержать все исправления безопасности, так как Magento также будет естественным образом применять исправления к своей базе кода разработки (эти исправления даже происходят из этой базы кода;)).

ОБНОВЛЕНИЕ:
Каждый последний патч Magento также выпускал новые версии Magento CE и EE уже содержат конкретный последний патч. Смотрите вкладку Архив выпуска на странице загрузки Magento.

Проверьте этот лист, поддерживаемый JH, для каких исправлений устанавливать, для какой версии Magento CE и EE: https://docs.google.com/spreadsheets/d/1MTbU9Bq130zrrsJwLIB9d8qnGfYZnkm4jBlfNaBF19M

 35
Author: 7ochem, 2017-07-13 13:17:28

К сожалению, нет "простого" способа установить эти исправления без доступа к оболочке, но есть два способа сделать это.

Установить патч через PHP

  1. Используйте FTP-клиент для загрузки определенного исправления в корневой каталог вашей папки Magento.
  2. Создайте PHP-файл с именем applypatch.php это запустит исправление для вас и загрузит его в корневой каталог вашей папки Magento. Убедитесь, что здесь используется правильное название исправления, если вы не используете исправление для версии 1.8.x-1.9.x

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-5344_CE_1.8.0.0_v1.sh");
print("</PRE>");
?>
  1. Посетите файл по адресу http://your.domain.com/applypatch.php , и проверьте, выглядит ли вывод так, как ожидалось.

Установите исправление вручную

Файл .sh содержит исправление "DIFF". Они показывают, какие строки были удалены и добавлены. Хотя я не советую этого делать, вы должны иметь возможность вручную загружать файлы через FTP и редактировать эти файлы в выбранном вами редакторе, а затем повторно загружать их через FTP. Формат не слишком трудно интерпретировать , поэтому вы можете сделать это для всех файлов и не должны занимать более нескольких минут.

 24
Author: Cipriano Groenendal, 2015-04-21 10:26:45

В моем случае я использую bitbucket для обслуживания версий и вношу свои изменения только через bitBucket.

Итак, что я делаю, когда применяю исправления, это применяю это исправление В своей локальной системе и тестирую все. что мой сайт работает.

И переместите все ссылки в bitbucket, а на живом сайте внесите все изменения, и мой патч будет применен.

В случае, если то, что вы делаете, если у вас нет доступа ssh, это

1) Примените исправление в локальном режиме и внесите изменения в bitbucket. Bitbucket сообщит вам, какие файлы были изменены с момента последней фиксации.

2) загрузите эти файлы вручную по FTP, и ваш патч будет применен.

 3
Author: Murtuza Zabuawala, 2016-10-25 12:13:25

Применение исправлений Magento через FTP/SFTP или файловый менеджер/Загрузка файлов.

Способ 1 :-

Чтобы применить исправления таким образом, мы просто заменяем измененные файлы. Этот способ нельзя использовать вслепую, если вы или ваши разработчики изменили какие-либо основные файлы Magento (что, кстати, очень важно). Такие изменения должны быть повторно применены к исправленным файлам, иначе вы потеряете эти изменения.

Пожалуйста, посетите приведенные ниже URL-адреса, чтобы загрузить следующее 2 :-

Загрузите файл исправления в https://magento.com/tech-resources/download#download1972 Загрузите файлы исправлений в корневой каталог magento.

Создайте один файл с именем patch.php, напишите в нем следующий код,

<?php
print("<PRE>");
passthru("/bin/bash PATCH_SUPEE-9652.sh");
print("</PRE>");
echo "Done";
?>

Вы бежите patch.php из браузера.

Если вы получаете такую ошибку,

"Ошибка! Некоторые необходимые системные инструменты, используемые в этом скрипте sh, не установлены; Инструмент (ы) "исправление" отсутствует (отсутствуют), пожалуйста, установите это (их).

Это означает, что на вашем сервере не установлены системные инструменты для запуска сценария sh.

 2
Author: Randhir Yadav, 2020-06-15 08:30:17

Я не думаю, что это возможно сделать без доступа по SSH, но вы всегда можете создать учетную запись SSH на cpanel или любой другой панели, которая у вас есть, и есть огромный шанс, что вы можете найти руководства по созданию учетной записи SSH вашей хостинговой компанией, просто набрав в Google "название вашей хостинговой компании + создание ssh".

 -2
Author: WebDudor, 2015-04-17 08:03:16

Загрузите исправления (на самом деле только 1, так как 1 для EE, а другой для CE) Предлагаю вам сначала быстро вернуться назад....

Резервная копия public_html Cp-r (замените public_html полной установкой magento)

Сначала отправьте исправление по FTP в каталог резервной копии и проверьте, все ли в порядке, запустив его в резервной копии.. ш patchname.sh

Все в порядке? Отправьте исправление по FTP на вашу фактическую установку & выполнить

Http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

Руководство также советует "Повторно применить права собственности к файлам, измененным исправлением: Найдите пользователя веб-сервера: ps -o "команда группы пользователей" - C httpd, apache2 Значение в столбце ПОЛЬЗОВАТЕЛЬ - это имя пользователя веб-сервера. Как правило, пользователь веб-сервера Apache в CentOS - это apache, а пользователь веб-сервера Apache в Ubuntu - www-data. Как пользователь с правами суперпользователя, введите следующую команду из Каталог установки Magento: имя пользователя веб-сервера chown-R. Например, в Ubuntu, где Apache обычно работает как www-данные, введите chown-R www-данные"

Запустив команду ps от имени root, я получил root только как пользователь и запустил root chown-R и испортил свою установку, я снова запустил ее с именем пользователя учетной записи, на которой она установлена, и все было хорошо

 -3
Author: Cosy, 2015-04-16 19:25:04